Attenzione alla nuova vulnerabilità DROWN. Il rischio è un nuovo caso Heartbleed

icedid

Una nuova vulnerabilità, completa di sito web, logo e nome accattivante, è stata scoperta e potrebbe essere pericolosa tanto quanto Heartbleed. Si chiama DROWN, e come il suo predecessore del 2014, colpisce i server HTTPS.

La falla coinvolgerebbe il 33% di tutti i siti e server HTTPS che fanno affidamento sui protocolli di crittografia SSL e TLS. Sfruttando la vulnerabilità DROWN, gli attackers possono rompere questi protocolli di sicurezza e intercettare e rubare le informazioni critiche protette e anche entrare in siti legittimi per cambiare funzioni o inserire del codice maligno.

A essere vulnerabili sono quindi tutti i server o client che permettono connessioni TLS e SSLv2, ovvero il 33% di tutti i server e siti HTTPS, il 22% di tutti i browser e il 25% dei top one million domain.

Per proteggersi da questa vulnerabilità è necessario assicurarsi che il protocollo SSLv2 sia disabilitato e che le chiavi private non vengano utilizzate in nessun caso di connessione SSLv2.