Sinds gisteren is een nieuwe kwetsbaarheid bekend rond het OpenSSL en SSLv2 protocol: DROWN - Decrypting RSA with Obsolete and Weakened eNcryption. DROWN is een cross-protocol aanval op TLS gebruik makend van SSLv2. Recente servers en client gebruiken het TLS encryptieprotocol. Echter door een verkeerde configuratie ondersteunen veel servers nog steeds de voorganger van TLS, SSLv2.
Waar gebruik je dit?
Waar wordt dit nu typisch voor gebruikt?
Bekijk samen met je veiligheidsconsulent en systeembeheerder wat de impact is van deze kwetsbaarheid op jouw specifieke omgeving.
Wie is er kwetsbaar:
Website, mail servers en andere services die het TLS protocol gebruiken zijn kwetsbaar voor een DROWN aanval. Op basis van de gegevens op website drownattack.com zijn heel wat websites kwetsbaar:
Kwetsbaar (per 1/3) | |
HTTPS - Top 1.000.000 domeinen | 25% |
HTTPS - Alle browser-trusted sites | 22% |
HTTPS - Alle sites | 33% |
Wat kan je eraan doen?
Je kan eerst checken via volgende tool of je kwetsbaar bent: https://drownattack.com/#check
Meer informatie kan gevonden worden op volgende websites:
Wil je meer info, of hulp? Stuur een mailtje naar security@v-ict-or.be