1/3 website HTTPS phơi mình trước đòn tấn công DROWN

Tuy không nghiêm trọng như Heartbleed nhưng lỗ hổng DROWN đã gây ảnh hưởng tới cả Yahoo, Alibaba và Samsung.

Theo The Next Web, các nhà nghiên cứu bảo mật vừa công bố một lỗ hổng OpenSSL có thể ảnh hưởng tới các máy chủ sử dụng SSLv2. Lỗ hổng này cho phép hacker giả mã các liên lạc HTTPS an toàn, ví dụ như mật khẩu và số thẻ tín dụng.

Tổng cộng 33% các trang web trên thế giới bị ảnh hưởng bởi lỗ hổng này. Con số 33% tuy không cao như Heartbleed nhưng vẫn sẽ gây đe dọa đáng kể tới phần đông người tiêu dùng trên toàn cầu, bao gồm cả các tên tuổi lớn như Yahoo, Alibaba, Weibo, BuzzFeed, Weather.com, Flickr và Samsung.

Bản cập nhật OpenSSL mới nhất đã vá lỗ hổng này, nhưng các hacker vẫn có thể tận dụng DROWN để tấn công người dùng một cách dễ dàng. Bằng cách gửi các packet đặc biệt tới một máy chủ hoặc thông qua các certificate chia sẻ cho các máy chủ khác, hacker có thể thực hiện các vụ tấn công thu thập thông tin dạng Man-in-the-Middle.

SSLv2 đã được đưa vào sử dụng từ thập niên 1990 và cũng thường bị bật tự động (hoặc do sơ suất) khi cài đặt các máy chủ mới, do đó DROWN sẽ là một vấn đề lớn với giới bảo mật toàn cầu. Trang web nói về lỗ hổng này cho biết quá trình tấn công bằng DROWN sẽ tiêu tốn không tới 1 phút. Do đã được công bố, số lượt tấn công bằng DROWN có thể sẽ tăng lên đáng kể.

Nhìn chung, người quản trị máy chủ trang web cần đảm bảo đã tắt SSLv2 và không chia sẻ chìa khóa riêng biệt giữa nhiều máy chủ khác nhau. DROWN không đòi hỏi người quản trị phải cấp lại chứng thực, nhưng vẫn đòi hỏi các hành động nhanh nhạy, kịp thời để giải quyết.

Lê Hoàng