7 mar. 2016

IPs argentinas con SSLv2 o con la vulnerabilidad #DROWN

Si aun sigues utilizando el protocolo SSLv2 en algún servidor y no te has enterado que existen varias vulnerabilidades críticas que permiten romper el cifrado, obtener comunicaciones sensibles, secretos comerciales o información financiera, estas en un problema.

Este problema empeoró al publicarse la vulnerabilidad DROWN que permite a un atacante descifrar conexiones TLS, mediante el uso de un servidor que soporte SSLv2 y suites de cifrado
de categoría EXPORT, interceptadas mediante conexiones específicamente creadas a un servidor SSLv2 que use la misma clave privada. Según las mediciones actuales, 33% de todos los servidores HTTPS son vulnerable a este nuevo ataque.

Para analizar la cantidad de servidores que aún se mantienen en ese estado realicé una simple búsqueda en Shodan: country:ar ssl.version:sslv2 (para realizarla es necesario registrarse en forma gratuita en el sitio). Se puede cambiar el país por el que se desee.

Según el informe, en Argentina se encuentran 17.285 servidores que utilizan SSLv2. No se puede afirmar que esta sea la cantidad total, porque esos son sólo los indexados por el buscador, y tampoco se puede confirmar que todos sean vulnerables, debido a que pueden existir otras medidas de mitigación que se hayan tomado con esos servidores.
De todas formas la cantidad es importante si se los compara con los 80.807 que utilizan SSLv3, los 94.187 con TLSv1.0, 33.986 con 1.1 y los 32.874 con TLS1.2.
Viendo los números preocupa que de los 259.139 servidores totales, el 6,67% aún utilicen SSLv2, un protocolo de 20 años de antigüedad y vulnerable a ataques ampliamente conocidos. Eso sin mencionar que SSLv3 y TLS1.0 también tienen vulnerabilidades conocidas.

Una estudio sobre un millón de servidores, a mediados de 2014 decía que el 18,9% de los servidores "seguros" utilizaban SSLv2. Este informe se basa en el uso de una excelente herramienta de análisis que se puede encontrar en el repositorio de GitHub y que permite analizar los protocolos de cifrado en cada servidor.

Cristian de la Redacción de Segu-Info

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!