CSIRT Panamá Aviso – Vulnerabilidad Crítica en SSLv2 (Ataque DROWN)
Gravedad: Alta
Fecha de publicación: Marzo 1, 2016
Fecha de modificación: Marzo 1, 2016
Última revisión: Revisión A.
Fuente: OpenSSL Security Advisory
Sistemas afectados
- Servidores web, servidores de correo y cualquier otro servicio dependiente de TLS y que soporten SSLv2 tienen riesgo de ser vulnerables a este ataque.
I. Descripción
Un grupo de investigadores ha descubierto una vulnerabilidad crítica en SSLv2, el cual puede ser utilizada para descifrar conexiones TLS. Esto implica que un atacante pudiera romper el cifrado, leer y robar comunicaciones sensibles; por ejemplo: contraseñas, números de tarjetas de crédito o cualquier información categorizada como confidencial para un usuario. El nombre mediático para esta vulnerabilidad se conoce como DROWN (Decrypting RSA with Obsolete and Weakened eNcryption, por sus siglas en inglés) y recibió el identificador CVE-2016-0800.
Es importante resaltar que SSLv2 se encuentra obsoleto desde el año 2011.
II. Impacto
Un atacante remoto podría robar información sensitiva en la comunicación de un usuario y un servidor. Por ejemplo, nombres de usuarios, contraseñas, números de tarjetas de crédito, correos electrónicos, mensajes o documentos confidenciales. Además un atacante podría robar la llave privada de un servidor e intentar hacerse pasar por un sitio seguro e interceptar o cambiar el contenido del sitio web.
III. Detección
Existen distintos mecanismos que pueden ser utilizados para identificar si un servidor es vulnerable a este ataque.
Los administradores de red pueden determinar si un servidor soporta SSLv2 ejecutando la siguiente instrucción en una terminal:
- openssl s_client -connect host:443 -ssl2
Si el certificado es devuelto, entonces SSLv2 es soportado por el servidor.
También existen algunos sitios web que permiten realizar un chequeo rápido, por ejemplo:
- https://test.drownattack.com/
IV. Solución
Se recomienda a los administradores que deshabiliten el soporte para SSLv2 en sus servidores. Los investigadores que han descubierto esta vulnerabilidad han escrito algunas recomendaciones con el fin de protegerse de esta vulnerabilidad.
V. Referencia a soluciones, herramientas e información
- https://www.openssl.org/news/secadv/20160301.txt
- https://www.openssl.org/blog/blog/2016/03/01/an-openssl-users-guide-to-drown/
- https://drownattack.com/
- https://www.kb.cert.org/vuls/id/583776
VI. Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la
Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Facebook: http://www.facebook.com/CSIRTPanama
Key ID: 16F2B124