OpenSSL今日发现一严重漏洞——水牢漏洞(DROWN漏洞),可能影响部分使用HTTPS的服务及网站。利用该漏洞,攻击者可以监听加密流量,读取诸如密码、信用卡账号、商业机密和金融数据等加密信息。目前全球有大约400万网站和服务易受此漏洞的影响。
360网络攻防实验室经初步统计,我国有109725个网站可能受到此漏洞的影响。360专门开发了此漏洞的在线检测工具。
HTTPS是一种Web浏览器与网站服务器之间传递信息的协议,该协议以加密形式发送通信内容,保证用户上网时的信息无法被第三方截获并解密读取。SSLv2是一种古老的协议,官方已经建议禁用SSLv2,Microsoft IIS (Windows Server):iis 7和以上的版本默认已经禁止了sslv2,实践中也有许多客户端已经不支持使用SSLv2。然而由于错误配置,许多网站仍然支持SSLv2。
水牢漏洞可以允许攻击者破坏使用SSLv2协议进行加密的HTTPS网站,读取经加密传输的敏感通信,包括密码、信用卡帐号、商业机密、金融数据等。
360安全专家蔡玉光分析,水牢漏洞利用难度较高,需要攻击者截获经HTTPS加密的通信数据,并破解此数据应送达的服务器的密钥,才可让攻击者对所截获的数据进行解密。破解密钥需要使用一定性能的计算集群,并花费8个小时。租用计算集群的成本约400美金左右(以租用亚马逊集群的费用为准)。但一旦攻击成功,攻击者就可以破解其截获的所有加密数据。
360部分网站也在使用OpenSSL,但是360在重要的系统中禁止了不安全的加密套件,因此不受“水牢”漏洞影响。
蔡玉光建议受到此漏洞影响的用户应确认其私钥不适用于其他的支持sslv2服务,包括web、smtp、imap、pop服务等,并禁止服务器端的sslv2支持。另外可以对OpenSSL进行更新。