Сотни облачных сервисов уязвимы к атаке Logjam

АНБ могло использовать Logjam для атаки на VPN серверы.
Множество облачных сервисов подвержены недавно обнаруженной в TLS-протоколе уязвимости под названием Logjam (CVE-2015-4000), сообщает компания по информационной облачной безопасности Skyhigh.
Logjam очень напоминает уязвимость FREAK, однако отличается тем, что вместо инициирования смены шифров RSA на RSA_EXPORT в Logjam производится откат протокола Диффи-Хеллмана, используемого для получения ключа для дальнейшего шифрования, до слабозащищенного уровня DHE_EXPORT. Уязвимость может быть проэксплуатирована для совершения атаки «человек посередине», которая позволит получить доступ к данным, проходящим через TLS-соединение.
Logjam поражает все серверы, которые поддерживают 512-битное экспортное шифрование, а также все современные браузеры. Согласно экспертам, более 8% из ТОП-миллиона web-сайтов, использующих HTTPS, и более 3% ресурсов, отображаемых в браузере как заслуживающих доверия, подвержены данной уязвимости.
В ходе атаки с эксплуатацией Logjam злоумышленники могут снизить стойкость шифрования у миллионов HTTPS, SSH и VPN серверов, которые поддерживают DHE_EXPORT и используют для генерации ключа простые 512-разрядные группы начальных чисел Диффи-Хеллмана.
По мнению специалистов Skyhigh, команда ученых может взломать 768-битное простое число, а группа хакеров, финансируемая государством, может замахнуться на 1024-битное. Взлом единственного, наиболее распространенного 1024-битного простого числа, используемого web-серверами, позволит прослушивать подключения к 18% из миллиона наиболее популярных HTTPS-сайтов. Эксперты считают, что АНБ могло использовать Logjam для атаки на VPN серверы.

Новости безопасности   Теги:



Редакция портала:

Благодарим за просмотр этой информации на нашем компьютерном портале. Надеемся, что обзор Сотни облачных сервисов уязвимы к атаке Logjam, в разделе Новости безопасности вам понравился. Есть небольшая рекомендация, если вы хотите быть в курсе всех событий сферы информационных технологий, то рекомендуем зарегистрироваться на портале www.stfw.ru.


Живая лента

•  Обзор портативного Hi-Res плеера FiiO M3k - 15.02.2019: STFW.Ru: Если рассматривать компанию FiiO как производителя только портативных Hi-Res


•  The LEGO Movie 2: The Second Part / «Лего Фильм 2» — не все у нас прекрасно - 15.02.2019: STFW.Ru: Первая часть Лего Фильма оказалась настоящим открытием и была тепло принята


•  Студенты из Турина разработали для Honda концепт молодежного электромобиля Tomo, его покажут на Женевском автосалоне вместе с серийным Honda Urban EV - 15.02.2019: STFW.Ru: Японский автопроизводитель Honda пообещал представить серийный


•  Немцы показали первые официальные изображения компактного электрокроссовера Audi Q4 e-tron. Концепт представят в Женеве весной, серийная версия выйдет в 2020-2021 годах - 15.02.2019: STFW.Ru: Немецкий автопроизводитель Audi опубликовал официальные изображения нового


•  КП «Информатика» раскрыла подробности модуля распознавания лиц в системе видеонаблюдения Киева: разработка китайской Hikvision, онлайн и оффлайн режимы работы, удаление фото на 31 день и т.д. - 15.02.2019: STFW.Ru: В конце прошлой недели мы рассказали о том, что столичное коммунальное


•  Вместе со смартфоном Xiaomi Mi 9 будет представлен и новый роутер Xiaomi - 15.02.2019: STFW.Ru: Официальный постер в соцсети Weibo указывает на то, что 20 февраля вместе