______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Обновленная брешь POODLE угрожает тысячам веб-ресурсов

Специалист компании Tripwire Крейг Янг (Craig Young) повысил вредоносный потенциал уязвимости POODLE. По словам исследователя, даже спустя четыре года после обнаружения угроза актуальна для множества организаций по всему миру, а предложенные им методы ускоряют атаку и повышают ее эффективность.

Впервые о проблеме POODLE, позволяющей взломать защиту SSL/TLS и перехватывать закрытые данные, заговорили в 2014 году. Атака требует серьезной технической подготовки и неприменима в массовых кампаниях, но продвинутые группировки могут воспользоваться ею для внедрения в защищенную инфраструктуру. Ситуация осложняется и тем, что отследить подобное вмешательство практически невозможно.

Янг обнаружил новые пути атаки, когда изучал состояние POODLE на сегодняшний день. К его удивлению, технология 2014 года по-прежнему угрожает сотням веб-ресурсов. Даже установка защитных патчей не снимает проблему с повестки — исследователь нашел лазейку в устаревшей технологии шифрования и прочитал закодированные данные.

Уязвимость содержится в режиме сцепления блоков шифротекста (Cipher Block Chaining, CBC), криптографическом методе, который поддерживается в протоколе TLS 1.2. Не вдаваясь в детали, Янг рассказал, что после «одной минимальной доработки» эксплойта он смог успешно атаковать балансировщик Citrix. Эксперт назвал свою технику атаки Zombie POODLE, намекая на возрождение оригинальной уязвимости.

Второе его открытие позволило в 16 раз ускорить взлом данных — с 256 запросов на байт до 16. Этой атаке, получившей название GOLDENDOODLE, подвержены даже устройства с защитой от POODLE. Технические подробности эксперт пообещал представить на конференции Black Hat Asia, которая состоится 26–29 марта в Сингапуре.

Разработчики Citrix уже выпустили заплатку к обновленной бреши. Янг не назвал других пострадавших производителей, уточнив лишь, что среди них есть поставщики других балансировщиков, брандмауэров для веб-приложений и VPN‑продуктов для защищенного доступа.

Атака должна уйти в прошлое с переходом индустрии на TLS 1.3, где отсутствует технология CBC. Новый протокол уже поддерживают многие продукты, например браузер Mozilla. Однако пока веб-разработчики не могут совсем отказаться от предыдущих версий для обеспечения обратной совместимости.

В настоящий момент компании могут вручную отключить поддержку CBC в своих разработках на базе TLS 1.2. Это обеспечит им защиту от Zombie POODLE и GOLDENDOODLE до обновления ПО. Янг также написал сканер для поиска уязвимости в веб-сервисе — разработчики могут воспользоваться им на условиях неразглашения.

 

источник

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх