USD 92.59 ЕВРО 100.27

Популярные HTTPS-сайты по-прежнему уязвимы из-за OpenSSL

Экономика

Критическая уязвимость в OpenSSL может быть использована на более чем 20 000 из 155 000 популярных SSL-сайтов Интернета

Уязвимость SSL

Некоторые из самых посещаемых сайтов Интернета, шифрующих данные по протоколу SSL, всё ещё чувствительны к недавно анонсированной уязвимости, которая может позволить злоумышленнику перехватить и расшифровать сообщение.

5 июня, разработчики широко используемой крипто-библиотеки OpenSSL, выпустили важные патчи безопасности для решения ряда уязвимостей, в том числе для одной, называемой CVE-2014-0224, позволяющей злоумышленникам следить за зашифрованными соединениями, при выполнении определенных условий.

Еще несколько лет назад, шифрование сеанса через HTTPS (HTTP с SSL) использовалось в основном для финансовой сферы, электронной коммерции и других сайтов, работающих с конфиденциальной информацией. Тем не менее, всё более широкое использование мобильных устройств, которые часто подключаются по небезопасным беспроводным сетям, в сочетании с прошлогодними открытиями о массовом сборе данных спецслужбами, привело к большому количеству сайтов, добавивших поддержку этого протокола.

OpenSSL является самой популярной криптографической библиотекой для реализации поддержки SSL/TLS на веб-серверах.

Для того, чтобы использовать уязвимость CVE-2014-0224 для расшифровки и изменения SSL-трафика, злоумышленники должны получить доступ к данным между клиентом и сервером, которые используют OpenSSL. Кроме того, сервер должен использовать OpenSSL-версию ветки 1.0.1.

Согласно результатам сканирования, выполненным в четверг Иваном Ристичем, руководителем компании области информационной безопасности Qualys, около 14% сайтов, проверенных в проекте SSL Pulse, используют версию OpenSSL, позволяющую эксплуатировать уязвимость CVE-2014-0224.

Проект SSL Pulse отслеживает уровень реализаций SSL на сайтах с поддержкой HTTPS из миллионного списка самых посещаемых. Согласно интернет-статистике фирмы Alexa – это 154406 сайтов по состоянию на 2 июня.

Ещё 36% веб-сайтов из списка SSL Pulse используют OpenSSL версии ветвей от 0.9.x или 1.0.0, которые также имеют уязвимость, но против которой известные эксплойты не пока работают.

Эти серверы должны быть тоже обновлены, потому что вполне возможно, что найдутся и другие способы использования уязвимостей, заявил Ристич в своем блоге.

Патч для CVE-2014-0224 не столь критичен, как для Heartbleed, более серьезной уязвимости, выявленной в начале апреля, также влияющей на клиенты и серверы OpenSSL.

«Хорошей новостью является то, что большинство браузеров не полагаются на OpenSSL, а это значит, что большинство пользователей браузеров не будут затронуты», сказал Ристич. «Тем не менее, Android-браузеры используют OpenSSL и они уязвимы для этой атаки. Кроме того, многие программные инструменты используют OpenSSL. Особенно интересной мишенью будут различные продукты VPN, если они основаны на OpenSSL (как, например, OpenVPN)».

Администраторы сайтов, которые хотят проверить наличие уязвимости CVE-2014-0224, могут использовать бесплатный онлайн инструмент тестирования, разработанный Qualys SSL Labs.