Ngày 2/3, Diễn đàn An ninh mạng WhiteHat.vn đã đưa thông tin về lỗ hổng nghiêm trọng DROWN trong OpenSSL, ảnh hưởng hơn 11 triệu trang web và các dịch vụ e-mail được bảo vệ bởi giao thức Secure Sockets Layer (SSLv2).
Bkav đã tiến hành kiểm tra các hệ thống quan trọng và có ảnh hưởng lớn tại Việt Nam. Kết quả, hàng trăm hệ thống có thể bị tấn công, đặt người dùng trước nguy cơ bị đánh cắp các thông tin quan trọng như mật khẩu, thông tin cá nhân, tài khoản ngân hàng…
Trong số các hệ thống bị ảnh hưởng, có tới 58% thuộc lĩnh vực tài chính, 21% thuộc lĩnh vực dầu khí, 11% thuộc lĩnh vực công nghiệp, hàng tiêu dùng, 5% thuộc lĩnh vực công nghệ, viễn thông và 5% thuộc lĩnh vực vận tải, du lịch.
Bkav đã gửi cảnh báo đến các đơn vị bị ảnh hưởng và hướng dẫn cách khắc phục lỗ hổng, đảm bảo an toàn thông tin cho khách hàng.
Lỗ hổng DROWN là gì?
Lỗ hổng DROWN khai thác điểm yếu của giao thức SSLv2, ảnh hưởng tới các kết nối có mã hóa như HTTPS và các dịch vụ khác dựa trên giao thức SSL và TLS. Đây là các giao thức được dùng để mã hóa dữ liệu trong các dịch vụ như ebanking, thương mại điện tử… đồng thời cũng được nhiều cơ quan sử dụng để cho phép nhân viên có thể truy cập vào các ứng dụng nội bộ của cơ quan, làm việc từ xa qua Internet.
Khai thác lỗ hổng DROWN, tội phạm mạng có thể lấy được các thông tin nhạy cảm của người dùng như mật khẩu, thông tin cá nhân, tài khoản ngân hàng, truy cập hộp thư hoặc xâm nhập trái phép vào mạng nội bộ của cơ quan.
Ông Ngô Tuấn Anh, Phó chủ tịch phụ trách An ninh mạng của Bkav cho biết: "Lỗ hổng DROWN khó khai thác hơn lỗ hổng Heartbleed do tin tặc phải đứng giữa kết nối của máy chủ và người dùng. Tuy nhiên, nguy cơ khai thác lỗ hổng để đánh cắp các thông tin của người sử dụng hoàn toàn có thể xảy ra. Các quản trị hệ thống cần lập tức vô hiệu hóa giao thức SSLv2 để bảo vệ an toàn cho hệ thống của mình và người dùng".
Bkav đã phát hành công cụ DROWN checker tại địa chỉ http://tools.whitehat.vn giúp quản trị có thể nhanh chóng kiểm tra khả năng hệ thống của mình bị ảnh hưởng bởi lỗ hổng DROWN, đồng thời đưa ra hướng dẫn chi tiết giúp khắc phục lỗ hổng.
Bkav