當前位置:
首頁 > 新聞 > TLS 1.2協議現漏洞,近3000網站或受影響

TLS 1.2協議現漏洞,近3000網站或受影響

雷鋒網2月12日消息,Citrix發現SSL 3.0協議的後續版本TLS 1.2協議存在漏洞,該漏洞允許攻擊者濫用Citrix的交付控制器(ADC)網路設備來解密TLS流量。

Tripwire漏洞挖掘研究小組的計算機安全研究員克雷格?楊(Craig Yang)稱:「TLS 1.2存在漏洞的原因主要是由於其繼續支持一種過時已久的加密方法:密碼塊鏈接(cipher block-chaining, CBC),該漏洞允許類似SSL POODLE的攻擊行為。此外,該漏洞允許中間人攻擊(簡稱:MITM攻擊)用戶的加密Web和VPN會話。」

TLS 1.2協議現漏洞,近3000網站或受影響

受到漏洞影響的供應商之一是Citrix,它也是第一個發布該漏洞補丁的廠商(CVE-2019-6485)。Citrix方面稱,該漏洞可能允許攻擊者濫用Citrix的交付控制器(ADC)網路設備來解密TLS流量。

Citrix相關負責人稱:「Citrix產品的安全性是至關重要的,我們非常重視所有潛在的漏洞。為了防止POODLE攻擊事件的再次發生,我們已經應用了適當的補丁來緩解這個問題。此外,我們也建議客戶採取必要的行動來保護他們正在使用的平台。」

Yang將這兩個新漏洞命名為「Zombie POODLE」和「 GOLDENDOODLE(CVE)」。Citrix已經針對這兩個漏洞對負載平衡器進行了修復,期間他們發現這些系統並沒有完全拋棄過時的加密方法,這也是這次讓該廠商陷入漏洞危機的最大原因之一。

Yang拒絕透露目前使用TLS 1.2協議的其他廠商,但他認為這些產品會獲取Web應用程序防火牆、負載平衡器許可權和遠程訪問SSL vpn,一旦遇到上述漏洞會造成十分嚴重的隱私泄露問題。

但是,Yang警告稱GOLDENDOODLE具有更強大和快速的密碼破解性能,即使供應商已經完全消除了最初的POODLE缺陷,它仍然可能受到此類攻擊。因為這兩個新的漏洞基於5年前在舊的SSL 3.0加密協議中發現並修補的一個主要設計缺陷。

根據Yang的在線掃描結果,在Alexa排名前100萬的網站中,約有2000個網站易受Zombie POODLE的攻擊,約1000個網站易受GOLDENDOODLE的攻擊,還有數百個網站仍易受五年前就被曝出的舊漏洞POODLE的攻擊。

「這個問題應該在四五年前就得到解決,」Yang稱,一些供應商要麼沒有完全消除對老密碼和不太安全的密碼支持,要麼沒有完全修補POODLE攻擊本身的缺陷。例如,Citrix並沒有完全修補原來的POODLE攻擊,這為下一代POODLE攻擊留下了空間。

當然,核心問題是HTTPS的底層協議(首先是SSL,現在是TLS)沒有正確地清除過時且不太安全的舊加密方法。對這些較舊協議的支持(主要是為了確保較舊的遺留瀏覽器和客戶機不會被網站鎖定)也會使網站變得脆弱。

雷鋒網得知,Zombie POODLE和GOLDENDOODLE(CVE)漏洞允許攻擊者重新排列加密的數據塊,並通過一個側邊通道查看明文信息。

攻擊是這樣進行的:例如,攻擊者通過植入用戶訪問的非加密網站上的代碼,將惡意JavaScript注入受害者的瀏覽器。一旦瀏覽器被感染,攻擊者可以執行MITM攻擊,最終從安全的Web會話中獲取受害者的cookie和憑證。

來源:darkreading

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 雷鋒網 的精彩文章:

這個新型高輸出功率PLD 陣列,可耐105℃高溫!
手把手教你NumPy來實現Word2vec

TAG:雷鋒網 |