DROWN Attack นับว่าเป็นช่องโหว่ความรุนแรงสูงล่าสุดบน OpenSSL ซึ่งส่งผลกระทบต่อเว็บไซต์และบริการอีเมลที่ใช้โปรโตคอลการเข้ารหัสแบบเก่า คือ SSLv2 กว่า 11 ล้านเครื่องทั่วโลก ช่องโหว่นี้ช่วยให้แฮ็คเกอร์สามารถถอดรหัสการเชื่อมต่อแบบ HTTPS เพื่อขโมยดูข้อมูลที่สำคัญ เช่น รหัสผ่านหรือข้อมูลบัตรเครดิตได้ ที่สำคัญคือ เป็นการโจมตีที่ใช้ต้นทุนต่ำ และใช้เวลาโจมตีสำเร็จได้เพียงไม่กี่ชั่วโมง
DROWN Attack คืออะไร
DROWN ย่อมาจาก “Decrypting RSA with Obsolete and Weakened eNcryption” คือ การถอดรหัส RSA ที่ใช้การเข้ารหัสที่ถูกเลิกใช้งานไปแล้วหรือไม่แข็งแกร่งเพียงพอ หรือก็คือ SSLv2 นั่นเอง
DROWN เป็นการโจมตีข้ามโปรโตคอลระหว่าง SSLv2 และ TLS โดยอาศัยช่องโหว่ของการวางระบบ SSLv2 และการดักฟังข้อมูลการเชื่อมต่อ TLS ที่จะโจมตีไว้ล่วงหน้า ช่วยให้แฮ็คเกอร์สามารถถอดรหัสข้อมูลการเชื่อมต่อ TLS ได้ต่อให้เป็น TLS เวอร์ชันใหม่อย่าง 1.2 ก็ตาม
TLS เวอร์ชัน 1.2 ก็ได้รับผลกระทบ
ถึงแม้ว่า TLS เวอร์ชันล่าสุดจะไม่อนุญาตให้เชื่อมต่อแบบ SSLv2 โดย default แต่บางครั้งผู้ดูแลระบบอาจปรับเปลี่ยนการตั้งค่าเพื่อให้สามารถใช้งานบนแอพพลิเคชันได้หลากหลาย ส่งผลให้แฮ็คเกอร์สามารถส่ง Malicious Packet ที่สร้างขึ้นมาเป็นพิเศษเข้าไปยังเซิฟเวอร์เพื่อถอดรหัสการเชื่อมต่อ HTTPS ได้ หรือถ้า Certificate มีการแชร์ระหว่างเซิฟเวอร์หลายเครื่อง ก็สามารถใช้ Certificate นั้นในการโจมตีแบบ Man-in-the-Middle เพื่อถอดรหัสการเชื่อมต่อ HTTPS ได้เช่นกัน
1 ใน 3 ของเซิฟเวอร์ HTTPS ตกเป็นเหยื่อ
ประมาณ 16% ของเซิฟเวอร์ HTTPS ยังคงรองรับ SSLv2 และพบว่ามีเซิฟเวอร์อีก 17% ใช้ Certificate เดียวกัน ส่งผลให้รวมแล้วประมาณ 33% ของเซิฟเวอร์ HTTPS ทั้งหมดมีช่องโหว่ที่อาจถูกโจมตีแบบ DROWN Attack หรือคิดเป็นประมาณ 11.5 ล้านเครื่องทั่วโลก เว็บไซต์ชื่อดังอย่าง Yahoo, Alibaba, Sina, BuzzFeed, Flickr, StumbleUpon, 4Shared และ Samsung ต่างมีช่องโหว่สำหรับการโจมตีแบบ DROWN-based MitM ทั้งนั้น
นอกจากเซิฟเวอร์ที่ใช้ OpenSSL แล้ว Internet Information Services (IIS) เวอร์ชัน 7 หรือต่ำกว่า ของ Microsoft รวมไปถึง Network Security Services (NSS) Cryptographic Library เวอร์ชัน 3.13 หรือก่อนหน้านั้นที่อยู่ในเซิฟเวอร์ของ Microsoft ต่างก็มีช่องโหว่ DROWN Attack ด้วยเช่นกัน
ลงทุน $440 ใช้เวลาโจมตีเพียงแค่ 8 ชั่วโมง
นักวิจัยด้านความมั่นคงปลอดภัย 15 คนจากมหาวิทยาลัยและหน่วยงานด้าน Infosec ระบุว่า “พวกเราได้ทดสอบโจมตีเซิฟเวอร์ที่รัน OpenSSL เวอร์ชันที่ได้รบผลกระทบต่อช่องโหว่ CVE-2016-0703 แล้ว พบว่าสามารถโจมตีสำเร็จได้ภายในเวลาไม่ถึงนาที โดยใช้ PC เพียงเครื่องเดียวเท่านั้น ต่อให้เป็นเซิฟเวอร์ที่ไม่มีช่องโหว่ดังกล่าว ถ้าเป็นเซิฟเวอร์ที่ใช้ SSLv2 แล้วละก็ สามารถโจมตีได้สำเร็จภายในเวลา 8 ชั่วโมง โดยอาศัยต้นทุนจากการใช้ Amazon EC2 เพียงแค่ $440 เหรียญสหรัฐฯ หรือประมาณ 16,000 บาทเท่านั้น
ตรวจสอบและป้องกัน DROWN Attack ได้อย่างไร
ผู้ที่ต้องการทราบว่าเว็บไซต์ของตนมีช่องโหว่ DROWN Attack หรือไม่ สามารถตรวจสอบได้ที่ https://drownattack.com/
สำหรับผู้ที่ใช้ OpenSSL 1.0.2 แนะนำให้อัพเดทเป็น OpenSSL 1.0.2g และผู้ที่ใช้ OpenSSL 1.0.1 ก็แนะนำให้อัพเดทเป็น 1.0.1s ให้เรียบร้อย ส่วนผู้ใช้งานเวอร์ชันอื่นๆ ก็ได้รับผลกระทบเช่นเดียวกัน แนะนำให้เปลี่ยนมาใช้เวอร์ชันใหม่อย่าง 1.0.2g หรือ 1.0.1s แทน ส่วน Certificate เดิมก็ยังคงใช้งานต่อไปได้ โดยไม่ต้องทำการขอใหม่แต่อย่างใด
นอกจากนี้ ควรตรวจสอบให้มั่นใจว่า ไม่มีการใช้ SSLv2 และไม่มีการแชร์ Certificate หรือ Private Key ระหว่างเครื่องเซิฟเวอร์ด้วยกัน
รายละเอียดการอัพเดทแพทช์: https://www.openssl.org/news/secadv/20160301.txt
รายละเอียดฉบับเต็ม: https://drownattack.com/
ที่มา: http://thehackernews.com/2016/03/drown-attack-openssl-vulnerability.html