Https vulnerabile sui server che si basano sulle librerie OpenSSL, questa una delle ultime scoperte nell’ambito della sicurezza informatica.
Un nuovo attacco chiamato DROWN mette in pericolo le connessioni crittografate fra client e server permettendo la visualizzazione dei dati in transito.
L’attacco è particolarmente pericoloso in quanto si riferisce ad un protocollo considerato normalmente sicuro e utilizzato per le connessione a banche e siti sensibili.
I server vulnerabili sono in particolare quelli che utilizzano la libreria OpenSSL o che comunque offrono la connessione via SSLv2, un vecchio protocollo non più utilizzato ma che potrebbe essere rimasto erroneamente attivato sui server.
I ricercatori sostengono che circa 11 milioni di siti protetti via HTTPS potrebbero essere vulnerabili all’attacco DROWN, insieme a un numero significativo di server e-mail protetti via TLS, questo perchè alcuni amministratori bypassavano le impostazioni di default nel tentativo di ottimizzare l’uso con applicazioni come Apache e Nginx e rendendo cosi l’https vulnerabile.
I server che si basano sulle librerie OpenSSL dovrebbero installare le ultime patch disponibili, la 1.0.2g o la 1.0.1s, al più presto.
I server basati su Microsoft IIS 7.0 o successivi e sulle versioni 3.13 e successive di NSS hanno il protocollo SSLv2 disattivo di default quindi non vulnerabili a meno di modifiche fatte dall’amministratore.
A questo indirizzo: https://drownattack.com/#check potete trovare uno strumento gratuito per verificare la vulnerabilità del vostro server.