CVE-2016-0800 – “Drown” kwetsbaarheid

CVE-2016-0800 – “Drown” kwetsbaarheid

DearBytesAlertsCVE-2016-0800 – “Drown” kwetsbaarheid

“DROWN” – Decrypting RSA using Obsolete and Weakened eNcryption

Wat is er aan de hand?

Op 1 maart heeft een groep onderzoekers de DROWN-kwetsbaarheid gepresenteerd. Met DROWN maakt een aanvaller misbruik van servers die nog SSL 2.0 ondersteunen. De kwetsbaarheid kan uiteindelijk resulteren in het ontsleutelen van TLS verkeer.

Waarom is dit zo belangrijk?

Transport Layer Security (TLS) is het meest gebruikte protocol voor het beveiligen van internetverbindingen. Met behulp van TLS kunnen een client en een server een cryptografisch beveiligde tunnel opzetten. Na het opzetten van de tunnel kunnen client en server veilig met elkaar communiceren.

SSL 2.0 is een heel verouderde versleutelingstechniek. Het is al lang bekend dat SSL 2.0 kwetsbaarheden bevat. Sommige mensen gingen er echter vanuit dat het aanbieden van SSL 2.0 als optie geen aanvullend risico met zich meebracht. Als gevolg daarvan zijn er nog veel servers die SSL 2.0 aanbieden, naast nieuwere veiligere opties.

Op wie is dit van toepassing?

Onze praktijkervaring leert dat veel bedrijven nog gebruik maken van SSL 2.0 zonder dit zelf te weten. Encryptie komt namelijk voor op alle verbindingen tussen clients en servers waarbij het verkeer versleuteld dient te worden. En dat omvat meer dan de verbindingen naar bijvoorbeeld de standaard webservers.

Wat kunt u doen?

Om te beginnen het uitschakelen van SSL 2.0/3.0. Voor de meeste servers is het inmiddels mogelijk om verbeterde encryptie technieken (TLS 1.0/1.1/1.2) aan te zetten. Het is dus zaak om de servers waarvan u weet dat dat dit mogelijk is, deze acties ook daadwerkelijk uit te voeren. Daarin ligt de prioriteit bij systemen die vanaf het internet benaderbaar zijn, denk aan web of e-mailservers.

Vervolgens raden wij sterk aan om in het interne netwerk op zoek te gaan naar systemen die niet direct in beeld zijn. Als laatste willen wij u er op wijzen dat het activeren van TLS 1.0/1.1/1.2 tot gevolg kan hebben dat verouderde clients geen connectie meer kunnen maken. Voor externe websites kunt u de SSL checker van Qualys SSL Labs gebruiken om vast te stellen of dit voor u van toepassing is.

Wat doet DearBytes?

Tegelijkertijd is DearBytes bezig om klanten te helpen met middelen die misbruik van de kwetsbaarheid kunnen detecteren en blokkeren. Wij zullen Managed klanten individueel benaderen om deze toe te passen en te rapporteren over onze bevindingen.

McAfee NSP: DearBytes is momenteel bezig een custom rule te ontwikkelen die misbruik kan herkennen. Zodra Intel Security officieel iets uitbrengt op dit vlak vervangen we de custom rules daarmee.
FortiGate: Op 3 maart 2016 heeft FortiGuard een update uitgebracht van de IPS signature database waarmee “Drown” kan worden gedetecteerd. Het betreft hier versie 6.805 van de database. DearBytes kan vaststellen of deze signature actief is en U assisteren bij het in blocking mode zetten zodat misbruik wordt tegengegaan.
FortiWeb: Standaard kan de FortiWeb het gebruik van bijv. TLS 1.0/1.1/1.2 afdwingen. DearBytes kan uw FortiWeb hierop controleren.

Meer informatie

Houd onze website in de gaten voor meer informatie: https://www.dearbytes.com