Vulnerabilità DROWN

Una nuova vulnerabilità nota con il nome di DROWN è stata scoperta CVE-2016-0703 https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0703

Secondo la classificazione CVSS questa vulnerabilità ha un livello di pericolosità MEDIA

Questa vulnerabilità interessa l’implementazione di OpenSSL:

OpenSSL 0.9 fino alla versione 0.9.8zf
OpenSSL 1.0.0, fino alla versione 1.0.0r
OpenSSL 1.0.1 fino alla versione 1.0.1m
OpenSSL 1.0.2 fino alla versione 1.0.2a

poiché accettano valori di CLIENT-MASTER-KEY CLEAR-KEY-LENGTH arbitrari, che rende fattibile un attacco man-in-the-middle, che permette all’attaccante di scoprire il valore della MASTER-KEY e di decrittare i dati crittografati con TLS.

DROWN consente agli aggressori di rompere la cifratura e leggere o rubare le comunicazioni, tra cui informazioni sensibili come password, numeri di carte di credito, segreti commerciali o dati finanziari.Un server è vulnerabile a DROWN se :

Permette connessioni SSL v.2 Questo è sorprendentemente comune, a causa di errori di configurazione e le impostazioni predefinite inappropriate . Si stima che il 17% dei server HTTPS ancora consentire le connessioni SSL v.2.
La sua chiave privata viene utilizzata su qualsiasi altro server che permette connessioni SSLv2, anche per un altro protocollo, ad esempio SMTPS.
Molte aziende scelgono di riutilizzare lo stesso certificato e la chiave sui propri server web ed e-mail. In questo caso , se il server e-mail supporta SSL v.2 e il server web non lo fa, un utente malintenzionato può sfruttare il server di posta elettronica per intercettare le connessioni TLS al server web.

La particolare gravità di questa minaccia è determinata da due fattori:

Diffusione: Si stima che il 30% di tutti i server HTTPS sono vulnerabili all’attacco.
Costo: Si stima che per determinare la MASTER-KEY sia sufficiente poche ore, ed un attacco possa costare circa 440$

Come proteggo il mio server ?

Per la proteggersi dalla vulnerabilità Drown, è importante essere certi che le chiavi private non vengono utilizzati in un server che consente le connessioni SSL v.2.
Questa raccomandazione include i server web, server SMTP , server IMAP e POP, e qualsiasi altro software che supporta SSL / TLS .

Ulteriori dettagli sull’attacco sono riportati nel paper: https://drownattack.com/drown-attack-paper.pdf

Vulnerabilità delle applicazioni: Ambito

Metrica Ambito

Una proprietà importante descritta da CVSS v3.0 è la possibilità per una vulnerabilità in un componente software di riuscire ad utilizzare le risorse privilegi superiori. Questo viene rappresentato dalla metrica Scope (Ambito).

Formalmente, Scope si riferisce all’insieme di privilegi definiti da un’autorità (ad esempio un’applicazione, un sistema operativo, o un ambiente sandbox) nel concedere l’accesso alle risorse di calcolo (ad esempio file, CPU, memoria, ecc). Questi privilegi vengono assegnati sulla base di un sistema di identificazione ed autorizzazione. In alcuni casi, l’autorizzazione può essere semplice od effettuata genericamente sulla base di regole o standard predefiniti. Ad esempio, nel caso di traffico Ethernet inviato ad uno switch, l’apparato accetta traffico che arriva sulle porte ed è un’autorità che controlla il flusso del traffico indirizzandolo verso altre porte.

Quando la vulnerabilità di un componente software che governa le autorizzazioni è in grado di influenzare le risorse governate cambiando i permessi di autorizzazione, si verifica un cambiamento ambito (Scope).

Il punteggio è maggiore quando si può verificare un cambiamento di ambito. I valori possibili per la metrica sono:

Invariato (U) la vulnerabilità può interessare solo le risorse gestite dalla stessa autorità. In questo caso il componente vulnerabile ed il componente impattato sono uguali.
Modificato (C) la vulnerabilità sfruttata può influenzare risorse oltre i privilegi di autorizzazione previsti dalla componente vulnerabile. In questo caso il componente vulnerabile e il componente impatto sono differenti.

Vulnerabilità delle applicazioni: CVSS Exploitability Metrics

Exploitability Metrics

Queste metriche, che fanno parte della classificazione CVSS, descrivono le caratteristiche della componente vulnerabile. Pertanto, ciascuna delle metriche elencate in questa sezione devono essere valutate rispetto alla componente vulnerabile, e rispecchiano le proprietà della vulnerabilità che permettono ad un attacco di avere successo.

Vettore di attacco (AV)

Questa metrica riflette il contesto con cui vulnerabilità sfruttamento è possibile. Questo valore metrica (e di conseguenza il punteggio di base) sarà più grande è la più remota (logicamente e fisicamente) un aggressore può essere al fine di sfruttare la componente vulnerabile. Il presupposto è che il numero di potenziali aggressori per una vulnerabilità che potrebbe essere sfruttata da tutto il Internet è maggiore del numero di potenziali aggressori che potrebbe sfruttare una vulnerabilità che richiede l’accesso fisico a un dispositivo, e garantisce quindi un punteggio superiore.

Complessità dell’attacco (AC)

Questa metrica descrive le condizioni che esulano dal controllo dell’attaccante che devono esistere al fine di sfruttare la vulnerabilità. Come descritto di seguito, tali condizioni possono richiedere la raccolta di ulteriori informazioni sul bersaglio, la presenza di determinate impostazioni di configurazione di sistema, o eccezioni computazionali. È importante sottolineare che la valutazione di questa metrica esclude eventualmente la necessità di interazione con l’utente al fine di sfruttare la vulnerabilità (tali condizioni vengono acquisite in Interaction metrica Utente). Questo valore metrica è più grande per gli attacchi meno complesse. L’elenco dei possibili valori è presentato nella Tabella 2.

Privilegi necessari (PR)

Questa metrica descrive il livello di privilegi un utente malintenzionato deve possedere prima di sfruttare la vulnerabilità. Questa metrica se più grande se non hanno bisogno di privilegi.

Interazione utente (UI)

Questa metrica cattura il requisito per un utente, oltre al malintenzionato, a partecipare compromesso successo del componente vulnerabile. Questa metrica determina se la vulnerabilità può essere sfruttata esclusivamente alla volontà dell’attaccante, o se un utente separato (o un processo avviato dall’utente) deve partecipare in qualche modo. Questo valore metrica è maggiore quando non è richiesto alcun intervento da parte dell’utente.

Vulnerabilità delle applicazioni: introduzione a CVSS

Il Common Vulnerability Scoring System (CVSS) è framework aperto per comunicare le caratteristiche e l’impatto di vulnerabilità di sicurezza. Il suo modello quantitativo assicura una misurazione precisa e ripetibile, mentre gli utenti possono vedere le metriche che sono stati utilizzati per generare i punteggi di vulnerabilità.
CVSS ben si adatta ad essere adottato come sistema di misura standard per le industrie, organizzazioni e governi che hanno bisogno di punteggi precisi e coerenti sull’impatto di una vulnerabilità.

CVSS può essere utilizzato per pianificare le attività di correzione di vulnerabilità e nel calcolo della gravità della vulnerabilità scoperte sui propri sistemi.

CVSS è composto di tre gruppi di metriche: Base, Temporale e Ambientale, ciascuna composta da un insieme di parametri.

Il gruppo di metriche di base rappresenta le caratteristiche intrinseche di una vulnerabilità che sono costanti nel tempo. Si suddivide in due sottogruppi: metriche di sfruttabilità e le metriche di impatto.

Il gruppo di metriche temporali descrive le caratteristiche di una vulnerabilità che possono cambiare nel tempo, ma non in base all’ambiente dell’utente. Ad esempio, la presenza di un kit facilmente utilizzabile aumenterebbe il punteggio CVSS, mentre la creazione di una patch ufficiale lo abbasserebbe.

Il gruppo di metriche ambientali rappresenta le caratteristiche di una vulnerabilità che sono rilevanti per l’ambiente di un particolare utente. Queste metriche consentono all’analista di valutare la presenza di elementi nel proprio ambiente operativo, che possono modificare le conseguenze della vulnerabilità.