Как считает сотрудник компании iSIGHT Partners, проблема вряд ли будет активно эксплуатироваться злоумышленниками.
Ранее SecurityLab писал о масштабной уязвимости в SSLv2, позволяющей провести межпротокольную атаку, получившую название Decrypting RSA with Obsolete and Weakened eNcryption (расшифровка RSA с устаревшим и ослабленным шифрованием, DROWN). Проблема актуальна для порядка 33% web-сайтов, обеспечивающих передачу данных по зашифрованному протоколу HTTPS, в том числе ресурсов Yahoo!, Alibaba, Weibo, Buzzfeed, Rambler, Weather.com, Flickr и Samsung.
Исследователи определяют DROWN как новый метод реализации атаки Бляйхенбахера, эксплуатирующей фундаментальную уязвимость в протоколе SSLv2. Данная ошибка связана с использованием экспортных шифров 20-летней давности, предполагающих применение 40-битных ключей RSA.
Эксперты в сфере информационной безопасности расходятся во мнениях относительно опасности уязвимости DROWN. Как считает старший руководитель отдела маркетинга компании iSIGHT Partners Стив Уорд (Steve Ward), данная проблема не представляет серьезной угрозы для пользователей. Хотя уязвимости подвержено значительное количество сайтов, ее эксплуатация возможна при определенных условиях и приведет только к получению закрытых ключей пользователей.
«Вряд ли данная уязвимость будет активно эксплуатироваться. Поскольку атакующий должен иметь возможность перехватить трафик, мы считаем, что большинство жертв будут не целевыми, а случайными. По нашим оценкам, уязвимость не вызовет большого интереса у злоумышленников и не будет активно эксплуатироваться», - рассказал Уорд в беседе с журналистами портала The Register.
По мнению эксперта компании Rapid7 Тода Бирдсли (Tod Beardsley), не стоит преуменьшать опасность DROWN. «В случае с DROWN для перехвата TLS-сессии атакующему необходим привилегированный доступ к сети. Также нужно прозондировать серверную инфраструктуру, однако это природа техники “Padding Oracle Attack”. Проблема DROWN не так серьезна, как Heartbleed, однако она наглядно демонстрирует уязвимости в устаревших криптографических стандартах», - отметил Бирдсли.
Спойлер: она начинается с подписки на наш канал