• Chia sẻ bài viết Sở TT&TT Bình Thuận cảnh báo nguy cơ hacker tấn công qua lỗ hổng OpenSSL lên Linkhay
  • Giúp ictnews sửa lỗi

Sở TT&TT Bình Thuận cảnh báo nguy cơ hacker tấn công qua lỗ hổng OpenSSL

ictnews
Điểm yếu mới trong bộ thư viện OpenSSL cho phép kẻ tấn công giải mã các dữ liệu đã được mã hoá trên đường truyền, có thể lấy được bất kỳ thông tin, dữ liệu nào được truyền trên kênh đã mã hoá bao gồm cả những thông tin như tài khoản người dùng, thông tin thẻ tín dụng…

Điểm yếu mới trong bộ thư viện OpenSSL cho phép hacker giải mã các dữ liệu đã được mã hoá trên đường truyền.

Lỗ hổng mới nguy hiểm như thế nào?

Theo website Sở TT&TT Bình Thuận, lỗ hổng mới trong bộ thư viện OpenSSL mới được công bố vào ngày 1/3/2016 còn được gọi là tấn công DROWN "Decrypting RSA with Obsolete and Weakened eNcryption”, nghĩa là "Giải mã RSA có mã hóa lỗi thời và suy yếu", cho phép tin tặc thực hiện giải mã các kết nối mạng sử dụng giao thức mã hoá SSLv2 dựa trên điểm yếu trong quá trình bắt tay.

Lỗ hổng có tên mã quốc tế là CVE-2016-0800. Lỗ hổng DROWN lợi dụng điểm yếu trong việc thực hiện giao thức bảo mật SSLv2 và TLS, và được khẳng định là lỗ hổng nghiêm trọng trong OpenSSL, hệ thống thi hành SSL và TLS.

DROWN được miêu tả như một cuộc tấn công chi phí thấp có thể giải mã các liên lạc HTTPS an toàn, nhạy cảm, bao gồm mật khẩu và thông tin thẻ tín dụng chỉ trong vài giờ, hoặc gần như ngay lập tức trong một số trường hợp.

Khai thác thành công điểm yếu này, tin tặc có thể lấy được bất kỳ thông tin, dữ liệu nào được truyền trên kênh đã mã hoá bao gồm cả những thông tin như tài khoản người dùng, thông tin thẻ tín dụng…

Về cơ bản, một máy chủ có thể bị tấn công DROWN khi có hỗ trợ kết nối sử dụng giao thức SSLv2; không sử dụng SSLv2 nhưng chia sẻ cặp khoá với máy chủ khác sử dụng SSLv2 (có nhiều đơn vị thường sử dụng một chứng chỉ cho nhiều dịch vụ trên cùng một máy chủ hoặc nhiều máy chủ).

Lỗ hổng này do hai chuyên gia an toàn thông tin có tên Nimrod Aviram và Sebastian Schinzel thông báo vào ngày 29/12/2015 và hiện tại các nhà phát triển OpenSSL xác nhận và đưa ra bản vá kịp thời. Theo đó một biến thể của tấn công DROWN với nhiều kịch bản bẻ khoá khác cũng được trình bày và tồn tại trên các phiên bản OpenSSL trước đó.

Mức độ ảnh hưởng của lỗ hổng

Theo đánh giá của các chuyên gia trên thế giới, hơn 33% máy chủ HTTPS có nguy cơ bị tấn công DROWN, có tới 11,5 triệu máy chủ trên thế giới bao gồm cả Yahoo, Alibaba, Weibo, Sina, BuzzFeed, Flickr, StumbleUpon, 4Shared và Samsung đều có khả năng bị ảnh hưởng.

Tại Việt Nam, nhiều đơn vị đang sử dụng OpenSSL chưa vá lỗi. Trong đó, nhiều hệ thống có cả máy chủ web, máy chủ thư điện tử và nhiều máy chủ khác cùng sử dụng chuẩn mã hoá SSL. Do vậy, nếu không cập nhật bản vá kịp thời thì việc rò rỉ thông tin quan trọng là vấn đề rất dễ xảy ra và gây ảnh hưởng lớn đến an toàn thông tin của hệ thống.

Kiểm tra lỗ hổng

Để kiểm tra xem trang web, máy chủ của mình có tồn tại lỗ hổng này hay không, người quản trị có thể kiểm tra bằng các công cụ sau: Công cụ do BKAV phát triển tại địa chỉ: http://tools.whitehat.vn/

Ngoài ra có thể sử dụng công cụ drownattack.com tại địa chỉ: https://drownattack.com/#check

Công cụ Drown Scanner thực hiện trực tiếp trên server: https://github.com/nimia/public_drown_scanner

Giải pháp khắc phục

Vô hiệu hoá giao thức SSLv2 trên tất cả các dịch vụ chạy trên máy chủ và các máy chủ liên quan, nghiên cứu sử dụng giao thức khác an toàn hơn; cập nhật phiên bản OpenSSL 1.0.2g và 1.0.1s hoặc cập nhật bản vá cho từng dịch vụ.

Chú ý, ngay cả khi máy chủ không có điểm yếu nhưng chia sẻ chứng chỉ khoá công khai hay cặp khoá với máy chủ khác (có điểm yếu) thì cũng có thể bị tấn công.

Hướng dẫn để cập nhật phiên bản OpenSSL: Kiểm tra phiên bản OpenSSL/ gói đang cài đặt: sử dụng lệnh “openssl version” hoặc “dpkg  -s openssl”; Cập nhật phiên bản, gói OpenSSL mới nhất bằng trình quản lý gói của hệ điều hành để vá tất cả các lỗ hổng.

Ngoài ra các quản trị viên có thể cập nhật bằng việc tải các gói trên trang chủ của OpenSSL.

H.P

Tương tác trực tiếp với ICTnews trên Facebook

CEO CMC Infosec Triệu Trần Đức: "Lập liên kết cộng đồng hacker để chống tội phạm mạng"
ICTnews - Theo ông Triệu Trần Đức, Tổng Giám đốc CMC Infosec, để đối phó với các cuộc tấn công mạng phức tạp, nhà nước có thể tập hợp những cao...
5 nhà tù công nghệ cao gây nản lòng cho giới tội phạm
Alcatraz, ADX Florence hay Detention Concept Lelysta... là những trại giam sở hữu hệ thống công nghệ an ninh tối tân khiến các tù nhân trốn trại...
Đào tạo điều tra tội phạm mạng cho các tỉnh miền Trung Tây Nguyên
ICTnews - Gần 20 học viên đến từ các tỉnh, thành phố thuộc khu vực miền Trung - Tây Nguyên vừa được Bộ TT&TT cùng các chuyên gia an ninh mạng...

Video đang được xem nhiều

  • Chia sẻ bài viết Sở TT&TT Bình Thuận cảnh báo nguy cơ hacker tấn công qua lỗ hổng OpenSSL lên Linkhay
  • Giúp ictnews sửa lỗi

Bài viết chưa có bình luận nào.

lên đầu trang