49% всех web-ресурсов все еще уязвимы к атакам с эксплуатацией бреши в OpenSSL 16-летней давности

49% всех web-ресурсов все еще уязвимы к атакам с эксплуатацией бреши в OpenSSL 16-летней давности

Согласно данным компании Qualys, только на 14% сайтов уязвимость можно успешно проэксплуатировать.

Часть наиболее посещаемых интернет-ресурсов, которые шифруют данные при помощи SSL-протоколов, все еще уязвимы к атакам с эксплуатацией бреши в OpenSSL 16-летней давности. Согласно данным Ивана Ристика (Ivan Ristic) из Qualys, количество таких сайтов составляет порядка 49% всех web-страниц. Кроме того, он утверждает, что на 14% ресурсов уязвимость можно успешно проэксплуатировать.

Напомним, что впервые о бреши стало известно в начале июня текущего года. Тогда сообщалось, что брешь позволяет настроить параметры рукопожатия таким образом, чтобы для связи между клиентом и сервером OpenSSL SSL/TLS использовались слабые ключи шифрования. Благодаря этому злоумышленник мог осуществить атаку «человек посередине».

Несмотря на то, что практически все версии OpenSSL уязвимы, эксплуатация бреши возможна исключительно в двух случаях, пишет Ристик. Так, для проведения атаки нужно, чтобы обе стороны использовали OpenSSL, или чтобы сервер поддерживал работу уязвимой версии OpenSSL ветки 1.0.1.

«Хорошая новость заключается в том, что большинство браузеров не задействуют OpenSSL, а это означает, что большая часть пользователей затронута не будет. Однако Android-обозреватели используют OpenSSL и являются уязвимыми к таким атакам», - пишет в блоге эксперт. 

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!