Le 1er mars 2016, des chercheurs en sécurité ont annoncé un nouvel exploit de vulnérabilité impliquant un ancien protocole de sécurité, SSLv2, qui affecte jusqu'à 33 % des serveurs Web. Même les serveurs Web qui n'autorisent pas les connexions SSLv2 peuvent être vulnérables si la clé privée RSA utilisée sur le serveur est réutilisée sur d'autres serveurs. Et, comme cela semble être de rigueur pour les vulnérabilités majeures de nos jours, il porte un nom simple et inquiétant :DROWN (qui est certes beaucoup plus facile à retenir et à référencer que sa désignation officielle de CVE-2016-0800).
.
Comment fonctionne la noyade
NOYER (D chiffrement R SA utilisant O bsolete et W réduit eN cryptage) nécessite qu'un attaquant n'ait qu'un accès ou la capacité de renifler le trafic réseau et la capacité d'interroger un serveur vulnérable.
Un exemple de scénario impliquerait un attaquant dans une position Man in the Middle (MitM) et capable de voir un client initier une connexion TLS à un serveur Web pour établir une session HTTPS sécurisée. L'attaquant copie cette session chiffrée, y compris la négociation de chiffrement qui la démarre. L'attaquant prend alors la négociation de clé initiale et exécute une variante d'une ancienne attaque sur les connexions SSLv2 connue sous le nom d'attaque Bleichenbacher (ou, l'attaque du million de messages) sur un autre serveur qui est prêt à utiliser SSLv2 et qui utilise la même clé privée RSA que le serveur d'origine. En raison de la manière dont SSLv2 gère la génération de clés de session, cette attaque pourrait permettre à un attaquant d'exploiter les faiblesses de SSLv2 (qui est considéré comme obsolète et non sécurisé depuis près de 20 ans maintenant) pour obtenir les clés négociées via la connexion TLS plus sécurisée.
Les chercheurs ont pu "déchiffrer une poignée de main TLS 1.2 en utilisant RSA 2048 bits en moins de 8 heures en utilisant Amazon EC2, pour un coût de 440 $". En exploitant une vulnérabilité récemment corrigée (en mars 2015) dans OpenSSL, ils ont dupliqué des résultats similaires "en une minute sur un seul processeur".
.
Suis-je concerné ?
Les chercheurs qui ont découvert cette exploitation disposent d'un outil en ligne qui peut vous permettre de savoir si votre domaine ou votre adresse IP est vulnérable. Cet outil présente des résultats positifs tirés des analyses qu'ils ont effectuées en février 2016, il ne représente donc pas des données en temps réel. Si vous avez récemment mis à jour votre version d'OpenSSL ou récemment apporté des modifications susceptibles de remédier à la vulnérabilité à DROWN, vous pouvez utiliser l'utilitaire d'analyse qu'ils ont mis en place pour vous aider à vérifier votre exposition.
.
Atténuation de l'exposition à la NOYADE
Étant donné que SSLv2 est le principal vecteur de cette attaque, la suppression de ce protocole en option lors de toute négociation de connexion sécurisée est la première étape. Consultez la documentation de vos applications qui utilisent SSL/TLS pour les paramètres de configuration spécifiques qui désactivent SSLv2 (et SSLv3, d'ailleurs). Les applications concernées peuvent inclure des serveurs Web (Apache, Nginx, etc.), des serveurs de messagerie (Postfix, par exemple) et tout service orienté connexion, en particulier tout ce qui utilise la bibliothèque OpenSSL.
De plus, les utilisateurs d'OpenSSL doivent mettre à niveau leur OpenSSL vers la version 1.0.2g ou 1.0.1s, selon que vous utilisez la version 1.0.2 ou 1.0.1, respectivement. Certaines versions antérieures d'OpenSSL peuvent encore permettre l'exploitation de cette attaque via l'utilisation de chiffrements d'exportation faibles même s'ils sont explicitement désactivés, donc dans la mesure du possible, la mise à niveau est votre meilleure option - ces versions contiennent également des correctifs qui corrigent d'autres vulnérabilités non liées à DROWN.
Enfin, une solution plus fiable consisterait à utiliser une clé privée unique sur chaque serveur devant exécuter TLS. Avec certains certificats, en particulier les certificats OV et EV, cette option entraîne des coûts supplémentaires et peut être viable pour tous les déploiements ou situations.
.
.