Miljoenen websites kwetsbaar voor cyberaanval door lek in OpenSSL
De zogenaamde DROWN-aanval (Decrypting RSA with Obsolete and Weakened eNcryption) kan gebruikt worden tegen maar liefst een derde van alle HTTPS-servers. Dit komt door een recent ontdekte lek in OpenSSL, waarbij het oude beveiligingsprotocol SSLv2 misbruikt kan worden om moderne websites aan te vallen.
Volgens de ontdekkers van het lek zouden maar liefst 11,5 miljoen servers risico lopen voor een DROWN-aanval. Hierbij behoren onder andere de Nederlandse websites Telegraaf.nl en Ziggo.nl en het Belgische Lesoir.be. Op deze site kan je testen of jouw website eveneens kwetsbaar is voor de DROWN-aanval.
Gelukkig bestaat er al een patch die een einde kan maken aan het probleem. Daarom moeten gebruikers van OpenSSL 1.0.2 naar 1.0.2g upgraden en wie OpenSSL 1.0.1 gebruikt, dient naar 1.0.1s te upgraden. Ook versie 7 of ouder van Microsoft Internet Information Services (IIS) en edities van Network Security Services (NSS) zijn kwetsbaar. Zo snel mogelijk upgraden is in beide geval wederom de boodschap.
Onveilige SSLv2
SSLv2 staat al meer dan twintig jaar bekend als een onveilig protocol en wordt daardoor nog zelden gebruikt. Om slachtoffer te vallen aan de DROWN-aanval is het echter voldoende om SSLv2 op je servers toe te laten. Ook wanneer je een publieke sleutel deelt met een server die SSLv2 toelaat, ben je de pineut.
“Het laat aanvallers toe om moderne TLS-connecties te decrypteren tussen up-to-date clients en servers door probes te versturen naar eender welke server die SSLv2 ondersteunt en dezelfde private sleutel gebruikt,” zeggen de ontdekkers van de lek in hun paper.