ISAC Cambodia (InfoSec)
Security NewsVulnerability

DROWN Attack ចំនុចខ្សោយថ្មីមួយទៀតរបស់ OpenSSL

ចំនុចខ្សោយថ្មីមួយទៀត ត្រូវបានរកឃើញនៅក្នុង OpenSSL ដែលធ្វើឲ្យមានផលប៉ៈពាល់ទៅដល់វេបសាយប្រមាណជា ១១លាន វេបសាយ និងសេវាអ៊ីម៉ែល ដែលត្រូវបានការពារដោយ Secure Sockets Layer (SSLv2) ។

ក្រុមអ្នកស្រាវជ្រាវផ្នែកសន្តិសុខ ដែលមានគ្នាចំនួន ១៥ មកពីមហាវិទ្យាល័យផ្សេងៗគ្នា និងសហគមន៍សន្តិសុខ បានធ្វើការព្រមានថា “ចំនុចខ្សោយដែលត្រូវបានគេឲ្យឈ្មោះថា DROWN គឺជាចំនុចខ្សោយមួយដ៏គ្រោះថ្នាក់នៅក្នុង OpenSSL ដែលត្រូវបានបញ្ចេញឲ្យដឹងកាលពីដើមខែមីនានេះ ដែលអាចបដិកូដនីយកម្ម (decrypt) ព័ត៌មានសំខាន់ៗរបស់អ្នក ដែលរួមមាន passwords និង credit card ។

Screenshot 2016-03-05 19.07.37

តើអ្វីទៅជា DROWN attack ?

DROWN មកពីពាក្យថា “Decrypting RSA with Obsolete and Weakened eNcryption” ។ វាគឺជាការវាយប្រហារ មួយប្រភេទដែលប្រើប្រាស់នូវចំនុចខ្សោយដែលមាននៅក្នុង SSLV2 ប្រឆាំងទៅនឹង transport layer security (TLS) ហើយបន្ទាប់មកអាចធ្វើបដិកូដនីយកម្ម (decrypt) ព័ត៌មានសំខាន់ៗរបស់អ្នក។ វាអាចធ្វើទៅបានដោយធ្វើការបញ្ជូននូវ packets ក្លែងក្លាយទៅកាន់ server  ដែលអាចធ្វើការដំណើរការវាយប្រហារ man-in-the-Middle (MitM) attack

drown-attack

មានម៉ាសីុនមេ HTTPS ច្រើនជាង ៣៣ភាគរយ គឺរងគ្រោះដោយការវាយប្រហារ DROWN attack នេះ ដែលប៉ៈពាល់ដល់ម៉ាស៊ីនមេប្រមាណជា ១១.៥ លានគ្រឿងជុំវិញពិភពលោក ដោយរួមមាន Yahoo, Alibaba, Weibo, Sina, BuzzFeed, Flickr, StumbleUpon, 4Shared និង Samsung ផងដែរ ។

ក្រៅពី OpenSSL , Microsoft’s Internet Information Services (IIS) ជំនាន់ទី 7 និងមុននេះ ហើយនឹងជំនាន់មុន 3.13 នៃ Network Security Services (NSS) Cryptographic library ដែលបានបញ្ចូលទៅក្នុងផលិតផលប្រើប្រាស់សម្រាប់ម៉ាស៊ីនមេជាច្រើន ក៏រងគ្រោះដោយបញ្ហានេះផងដែរ ។

តើការធ្វើតេស្តយ៉ាងដូចម្តេចដើម្បីដឹងថាវាមានបញ្ហា DROWN OpenSSL ?

អ្នកអាចស្វែងរកនូវចំនុចរបស់វេបសាយ ដោយប្រើប្រាស់នូវ online tool : DROWN attack test site ។ ប៉ុន្តែយើងមានដំណឹងល្អគឺថា ក្រុមដែលបាន រកឃើញនូវចំនុចខ្សោយ DROWN នេះ បានបញ្ចេញនូវ Patch ដែលអ្នកអាចទាញយកដើម្បីជួសជុលផងដែរ។ ដំណឹងដ៏អាក្រក់នោះគឺថា ការវាយប្រហារ DROWN អាចត្រូវបានធ្វើឡើងក្នុងពេល ១នាទីប៉ុណ្ណោះ ដើម្បីជ្រៀតចូលទៅក្នុងប្រព័ន្ធ ហើយក្នុងពេលនេះ វាត្រូវបានផ្សព្វផ្សាយជាសាធារណៈ ដែលជាហេតុ អាចឲ្យមានការវាយប្រហារកើតឡើងជាច្រើនបន្ទាប់ទៀត។

Screenshot 2016-03-05 19.08.16

តើអ្នកការពារខ្លួនយ៉ាងដូចម្តេច?

ដើម្បីការពារខ្លួនអ្នកទប់ទល់នឹង DROWN អ្នកគួរតែបិទមុខងារ SSLv2 ហើយប្រាកដថា private key របស់អ្នកមិនមានចែករំលែកប្រើប្រាស់នៅក្នុង ម៉ាស៊ីនមេដទៃទៀតឡើយ ។ សម្រាប់ម៉ាស៊ីនមេដែលរងគ្រោះដោយបញ្ហានេះ គឺមិនត្រូវការធ្វើការចេញឡើងវិញនូវវិញ្ញាបនប័ត្រឡើយ (re-issue certificates) ប៉ុន្តែត្រូវធ្វើការងារអាប់ដេតជាបន្ទាន់។

អ្នកអាចចូលទៅមើលឯកសារបច្ចេកទេសលំអិតនៅទីនេះ DROWN Attack ។ ក្រៅពីនេះ សាស្ត្រាចារ្យ Matthew Green មកពីសាកលវិទ្យាល័យ Johns Hopkins ក៏បានបញ្ចេញឯកសារពន្យល់ផងដែរនៅក្នុង blog post ។

ប្រភព៖

https://thehackernews.com/2016/03/drown-attack-openssl-vulnerability.html

Show More

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button