OpenSSL’in keşfedilen yeni güvenlik açığı DROWN, SSLv2 kullanan sunucuları etkileyerek HTTPS korumasındaki siteleri deşifre ediyor, şifre ve kredi kartı numaralarını tehlikeye atıyor. Sunucuların üçte birinden fazlasının bu açık karşısında savunmasız olduğu belirtiliyor. Bu oran Heartbleed açığına oranla çok daha düşük olmakla birlikte, kayıtsız kalınamayacak ölçüde önem arz ettiği de ortada.
Alexa verilerine göre oluşturulan Drown açığına karşı savunmasız kalan en çok ziyaretçiye sahip internet markaları arasında Yahoo, Alibaba, Weibo, BuzzFeed, Weather.com, Flickr ve Samsung yer alıyor. OpenSSL için yayınlanan bir güncellemeyle açığa çıkan güvenlik zaafı halihazırda yayınlanmış bir yamayla kapatılmış durumdayken, açıktan faydalanma büyük ölçüde önemsiz hale getirildi.
HTTPS, DROWN ile deşifre oluyor!
DROWN açığı saldırganlara HTTPS’yi deşifre etme imkanı sağlıyor ve kurban bilgisayar ile diğer ağ araçları arasına girerek verileri yakalama ve şifrelenmemiş verileri görebilme, yani etkin bir Man-in-the-Middle (Ortadaki Adam) saldırısı düzenlemesine olanak tanıyor.
Geçmişi 90’lara dayanan SSLv2 genellikle kazara veya otomatik olarak yeni bir sunucu kurulduğunda faaliyete geçiyor ki bu da DROWN’ın niçin yayınlanan yamaya rağmen tehlike arz ettiğini olduğunu açıklıyor. DROWN açığının sebeplerinden biri olarak da ABD’nin 1990’lı yollarda aldığı kripto zayıflatma kararı gösteriliyor.
Kendinizi bu zaafiyete karşı korumak için SSLv2’nin engellenmiş olduğu veya özel anahtarınızın bir başka sunucuda paylaşılmamış olduğundan emin olmanız gerekiyor. Zaafiyet altında olanların yeniden sertifika almalarına ihtiyaç yokken, süratle atağa karşı önlem almaları gerekiyor.
