Tấn công DROWN trên bộ thư viện OpenSSL
Thông tin về lỗ hổng
Lỗ hổng mới trong bộ thư viện OpenSSL mới được công bố vào ngày 01/03/2016 còn được gọi là tấn công DROWN "Decrypting RSA withObsolete and Weakened eNcryption” cho phép tin tặc thực hiện giải mã các kết nối mạng sử dụng giao thức mã hoá SSLv2 dựa trên điểm yếu trong quá trình bắt tay.
( Quá trình bắt tay của SSLv2 sẽ bị tấn công ngay khi máy chủ gửi thông điệp ServerVerify chứa bản mã RSA-PKCS#1 v1.5 )
Khai thác thành công điểm yếu này, tin tặc có thể lấy được bất kỳ thông tin, dữ liệu nào được truyền trên kênh đã mã hoá bao gồm cả những thông tin như tài khoản người dùng, thông tin thẻ tín dụng, …
Về cơ bản, một máy chủ có thể bị tấn công DROWN khi:
- Có hỗ trợ kết nối sử dụng giao thức SSLv2;
- Không sử dụng SSLv2 nhưng chia sẻ cặp khoá với máy chủ khác sử dụng SSLv2. (Có nhiều đơn vị thường sử dụng một chứng chỉ cho nhiều dịch vụ trên cùng một máy chủ hoặc nhiều máy chủ)
Lỗ hổng này do hai chuyên gia an toàn t có tên Nimrod Aviram và Sebastian Schinzel thông báo vào ngày 29/12/2015 và hiện tại các nhà phát triển OpenSSL xác nhận và đưa ra bản vá kịp thời. Theo đói một biến thể của tấn công DROWN với nhiều kịch bản bẻ khoá khác cũng được trình bày và tồn tại trên phiên bản OpenSSL trước đó (có mã lỗi quốc tế là CVE- 2016-0703).
Theo đánh giá của các chuyên gia trên thế giới, có tới 11,5 triệu máy chủ trên thế giới bao gồm cả Yahoo, Alibaba, Weibo, Sina, BuzzFeed, Flickr, StumbleUpon, 4Shared và Samsung đều có khả năng bị ảnh hưởng.
Tại Việt Nam, nhiều đơn vị đang sử dụng OpenSSL chưa vá lỗi. Trong đó, nhiều hệ thống có cả máy chủ web, máy chủ thư điện tử và nhiều máy chủ khác cùng sử dụng chuẩn mã hoá SSL. Do vậy, nếu không cập nhật bản vá kịp thời thì việc rò rỉ thông tin quan trọng là vấn đề rất dễ xảy ra và gây ảnh hưởng lớn đến an toàn thông tin của hệ thống.
Giải pháp khắc phục
- Vô hiệu hoá giao thức SSLv2 trên tất cả các dịch vụ chạy trên máy chủ và các máy chủ liên quan, nghiên c sử dụng giao thức khác an toàn hơn.
- Cập nhật phiên bản OpenSSL 1.0.2g và 1.0.1s hoặc cập nhật bản vá cho từng dịch vụ.
Chú ý: Ngay cả khi máy chủ không có điểm yếu nhưng chia sẻ chứng chỉ khoá công khai hay cặp khoá với máy chủ khác (có điểm yếu) thì cũng có thể bị tấn công.
Hướng dẫn để cập nhật phiên bản OpenSSL:
- Kiểm tra phiên bản OpenSSL/ gói đang cài đặt: sử dụng lệnh “openssl version” hoặc “dpkg -s openssl”
- Cập nhật phiên bản, gói OpenSSL mới nhất bằng trình quản lý gói của hệ điều hành để vá tất cả các lỗ hổng.
Ngoài ra các quản trị viên có thể cập nhật bằng việc tải các gói trên trang chủ của OpenSSL về và biên dịch lại.
Tham khảo
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0800
https://www.openssl.org/news/secadv/20160301.txt
https://www.openssl.org/blog/blog/2016/03/01/an-openssl-users-guide-to-drown/
https://drownattack.com/drown-attack-paper.pdf
http://www.kb.cert.org/vuls/id/583776
(AIS-CERT, LBQT, HVH)