TLS 1.2協議現漏洞近3000網站或受影響
Citrix發現SSL 3.0協議的後續版本TLS 1.2協議存在漏洞,該漏洞允許攻擊者濫用Citrix的交付控制器(ADC)網絡設備來解密TLS流量。Tripwire漏洞挖掘研究小組的計算機安全研究員克雷格•楊(Craig Yang)稱:“TLS 1.2存在漏洞的原因主要是由於其繼續支持一種過時已久的加密方法:密碼塊鏈接(cipher block-chaining , CBC),該漏洞允許類似SSL POODLE的攻擊行為。
此外,該漏洞允許中間人攻擊(簡稱:MITM攻擊)用戶的加密Web和VPN會話。”
了解更多:
受到漏洞影響的供應商之一是Citrix,它也是第一個發布該漏洞補丁的廠商(CVE-2019-6485)。Citrix方面稱,該漏洞可能允許攻擊者濫用Citrix的交付控制器(ADC)網絡設備來解密TLS流量。
Citrix相關負責人稱:“Citrix產品的安全性是至關重要的,我們非常重視所有潛在的漏洞。為了防止POODLE攻擊事件的再次發生,我們已經應用了適當的補丁來緩解這個問題。此外,我們也建議客戶採取必要的行動來保護他們正在使用的平台。”
Yang將這兩個新漏洞命名為“Zombie POODLE”和“ GOLDENDOODLE(CVE)”。Citrix已經針對這兩個漏洞對負載平衡器進行了修復,期間他們發現這些系統並沒有完全拋棄過時的加密方法,這也是這次讓該廠商陷入漏洞危機的最大原因之一。
Yang拒絕透露目前使用TLS 1.2協議的其他廠商,但他認為這些產品會獲取Web應用程序防火牆、負載平衡器權限和遠程訪問SSL vpn,一旦遇到上述漏洞會造成十分嚴重的隱私洩露問題。
但是,Yang警告稱GOLDENDOODLE具有更強大和快速的密碼破解性能,即使供應商已經完全消除了最初的POODLE缺陷,它仍然可能受到此類攻擊。因為這兩個新的漏洞基於5年前在舊的SSL 3.0加密協議中發現並修補的一個主要設計缺陷。
根據Yang的在線掃描結果,在Alexa排名前100萬的中,約有2000個網站易受Zombie POODLE的攻擊,約1000個網站易受GOLDENDOODLE的攻擊,還有數百個網站仍易受五年前就被曝出的舊漏洞POODLE的攻擊。
“這個問題應該在四五年前就得到解決,”Yang稱,一些供應商要么沒有完全消除對老密碼和不太安全的密碼支持,要么沒有完全修補POODLE攻擊本身的缺陷。例如,Citrix並沒有完全修補原來的POODLE攻擊,這為下一代POODLE攻擊留下了空間。
當然,核心問題是HTTPS的底層協議(首先是SSL,現在是TLS)沒有正確地清除過時且不太安全的舊加密方法。對這些較舊協議的支持(主要是為了確保較舊的遺留瀏覽器和客戶機不會被網站鎖定)也會使網站變得脆弱。
Zombie POODLE和GOLDENDOODLE(CVE)漏洞允許攻擊者重新排列加密的數據塊,並通過一個側邊通道查看明文信息。
攻擊是這樣進行的:例如,攻擊者通過植入用戶訪問的非加密網站上的代碼,將惡意JavaScript注入受害者的瀏覽器。一旦瀏覽器被感染,攻擊者可以執行MITM攻擊,最終從安全的Web會話中獲取受害者的cookie和憑證。