經(jīng)國外相關(guān)機構(gòu)初步探測識別,目前全球有大約400萬網(wǎng)站和服務(wù)易受此漏洞的影響。360網(wǎng)絡(luò)攻防實驗室經(jīng)初步統(tǒng)計,我國有109725個網(wǎng)站可能受到此漏洞的影響。360專門開發(fā)了此漏洞的在線檢測工具,可利用以下網(wǎng)址進行檢測:http://bobao.#/tools/index。
HTTPS是一種Web瀏覽器與網(wǎng)站服務(wù)器之間傳遞信息的協(xié)議,該協(xié)議以加密形式發(fā)送通信內(nèi)容,保證用戶上網(wǎng)時的信息無法被第三方截獲并解密讀取。SSLv2是一種古老的協(xié)議,官方已經(jīng)建議禁用SSLv2,Microsoft IIS (Windows Server):iis 7和以上的版本默認已經(jīng)禁止了sslv2,實踐中也有許多客戶端已經(jīng)不支持使用SSLv2。然而由于錯誤配置,許多網(wǎng)站仍然支持SSLv2。
水牢漏洞可以允許攻擊者破壞使用SSLv2協(xié)議進行加密的HTTPS網(wǎng)站,讀取經(jīng)加密傳輸?shù)拿舾型ㄐ牛艽a、信用卡帳號、商業(yè)機密、金融數(shù)據(jù)等。
360安全專家蔡玉光分析,水牢漏洞利用難度較高,需要攻擊者截獲經(jīng)HTTPS加密的通信數(shù)據(jù),并破解此數(shù)據(jù)應(yīng)送達的服務(wù)器的密鑰,才可讓攻擊者對所截獲的數(shù)據(jù)進行解密。破解密鑰需要使用一定性能的計算集群,并花費8個小時。租用計算集群的成本約400美金左右(以租用亞馬遜集群的費用為準)。但一旦攻擊成功,攻擊者就可以破解其截獲的所有加密數(shù)據(jù)。
360部分網(wǎng)站也在使用OpenSSL,但是360在重要的系統(tǒng)中禁止了不安全的加密套件,因此不受“水牢”漏洞影響。
蔡玉光建議受到此漏洞影響的用戶應(yīng)確認其私鑰不適用于其他的支持sslv2服務(wù),包括web、smtp、imap、pop服務(wù)等,并禁止服務(wù)器端的sslv2支持。另外可以對OpenSSL進行更新。