I ricercatori hanno avvisato la comunità di esperti della possibilità che un largo numero di siti web possa cadere sotto un attacco HTTPS per colpa di DROWN
Una nuova vulnerabilità di rete è stata scoperta da alcuni ricercatori di sicurezza, provenienti da vari poli universitari, tra cui Tel Aviv, Michigan e Pennsylvania. Il tema ha prodotto un documento ufficiale in cui, per la prima volta, si legge il termine DROWN, ovvero la particolare vulnerabilità che interesserebbe una vasta gamma di siti web attualmente in uso. DROWN sta per Decrypting RSA with Obsolete and Weakened eNcryption, e si riferisce ad una debolezza insista nei protocolli di rete HTTPS, TLS e SSL, che permetterebbe ad un aggressore di interporsi nel traffico genuino per re-indirizzare le richieste degli utenti verso altri siti, che usano la stessa chiave crittografica privata su un server SSLv2.
Cosa fare
Secondo la ricerca, circa un quarto dei domini top-level HTTPS e un terzo di tutti i siti web attivi sarebbero vulnerabili all’attacco. “DROWN mostra che il solo supporto all’SSLv2 è un pericolo per i server e i client moderni. Questo permette ad un aggressore di decriptare le connessioni TLS proprio tra client e server, ingannando il traffico tramite l’invio di una stessa chiave privata”. Al momento, per proteggere la rete dalla vulnerabilità, e in attesa che arrivi un aggiornamento di sicurezza sostanziale, gli amministratori dovrebbero assicurarsi che le loro private key non vengano utilizzate con programmi che permettono connessioni SSLv2. Questi includono web server, server SMTP, IMAP e POP e altre tipologie di software.