Несмотря на общее стремление скорее избавиться от опасной бреши в TLS, известной как DROWN, сотни облачных сервисов все еще подвержены риску атаки.
К такому неутешительному заключению пришли две независимые исследовательские компании, Netskope и Skyhigh Networks, спустя неделю после обнародования этой уязвимости.
По оценке Skyhigh, за истекший период число облачных служб, уязвимых к DROWN-атакам, снизилось с 653 до 620 (лишь на 5,1%). Это совершенно мизерный результат в сравнении с уязвимостями, подобными Heartbleed. Через неделю после публикации данных о Heartbleed количество уязвимых веб-сервисов сократилось на 92,7%. Вместе с тем Skyhigh отметила, что 98,9% предприятий используют как минимум один веб-сервис, затронутый DROWN.
Netskope, со своей стороны, совокупно насчитала 676 SaaS-приложений, уязвимых к DROWN. Для двух из них риск оценивается как высокий, для 42 – как средней тяжести. Следует отметить, что Netskope определяет уровень риска по семи критериям, в том числе по их финансовой жизнеспособности, величине ущерба для приватности и степени соблюдения договора о предоставлении услуг.
По мнению Рави Балупари (Ravi Balupari), технического директора Netskope и руководителя ее исследований по обеспечению безопасности в облаке, к DROWN наиболее уязвимы такие SaaS-сервисы, как облачное хранение, службы обеспечения совместной работы и HR-системы. Со слов Балупари, Netskope начала мониторить SaaS-приложения в минувший понедельник и фиксирует сокращение уязвимых серверов примерно на 10% в сутки.
«Мы ожидаем, что к концу дня [среды] число уязвимых к DROWN серверов сократится до 564, – заявил Балупари. – Патчи применяются слишком медленно, и это не может не беспокоить. В случае с Heartbleed все было гораздо быстрее». Журналисты попытались связаться с производителями трех веб-приложений, идентифицированных Netskope. Одна из этих компаний закрылась несколько лет назад, две другие на запрос пока не ответили.
Балупари склонен объяснять медленные темпы патчинга в данном случае тем, что DROWN в сравнении с Heartbleed намного сложнее использовать в дикой природе. Тем не менее, эксперт надеется, что со временем число уязвимых к DROWN SaaS‑приложений сократится до уровня FREAK (73), Logjam (42) или даже Poodle (7).
Себастьян Шинцель (Sebastian Schinzel), преподаватель Мюнстерского университета прикладных наук и один из исследователей, обнаруживших DROWN, отметили, что удивлены неторопливым откликом на эту уязвимость. «Пропатчить DROWN легче, чем Heartbleed, которая требует отключения сервисов для установки патчей, поэтому можно было ожидать, что эти цифры будут более скромными», – заявил Шинцель. Однако он в то же время признает, что, будь то Heartbleed, POODLE или DROWN, определенный процент серверов все равно останется непропатченным.
«Heartbleed и Logjam пока сохраняют свою актуальность, – констатирует эксперт. – DROWN, видимо, пойдет по их стопам. Предположим, к DROWN уязвимы 33% серверов и через месяц их доля сократится до 3%. Эти 3% так и останутся, пока не скончается аппаратура».
Тем не менее, Шинцель отметил, что исследователи, обнаружившие DROWN, вполне удовлетворены откликом на свой алерт. Сам эксперт, по его словам, не в состоянии подтвердить число уязвимых облачных сервисов, но, судя по данным на test.drownattack.com, «реакция была хорошей».
