2009-11-06 14:07:25 
阿炯
安全专家发现TLS/SSL保密协议存在致命漏洞
PhoneFactor公司的两名安全专家Marsh Ray与Steve Dispensa近日公开了他们在TLS/SSL安全协议中发现的安全漏洞。TLS (传输层保密协议Transport Layer Security)以及SSL(Socket层保密协议Secure Sockets Layer)是两个被在线零售商在网络交易过程中广泛使用的安保协议。两位专家本周四在自己的博客上公开了这两个安全协议中的漏洞,Ray今年8月份首次发现了这些漏洞,并于9月初将这些漏洞展示给Dispensa。专家们表示,攻击者可以利用这种漏洞劫持用户的浏览器,并伪装成合法用户。
两位专家表示,由于TLS协议中验证服务器及客户机身份的一连串动作中存在前后不连贯的问题,因此便给了攻击者可乘之机。不仅如此,这种漏洞还给攻击者发起Https攻击提供了便利,Https协议是Http与TLS协议的集合体,目前许多在线交易均使用这种协议。
据另一位安全专家Chris Paget表示,TLS协议中存在的这种漏洞在SSL协议上同样存在。
发现这一漏洞之后,Ray和Dispensa很快将其报告给了网络安全产业联盟(ICASI),该联盟由思科,IBM,Intel,Juniper,微软以及诺基亚创立。同时他们还将其报告给了Internet工程任务组(IETF)以及几家开源的SSL项目组织。
9月29日,这些团体经过讨论后决定推出一项名为Mogul的计划,该计划将负责修补这个漏洞,计划的首要任务是尽快推出新的协议扩展版,以修复该漏洞。Ray称他预计近期各大厂商便会将此事的处理结果作出公开声明,并出台临时的解决办法。
新的 TLS 加密破坏攻击也会影响新的 TLS 1.3 协议
一个学术团队上周披露了一个新的加密攻击,它可以攻破加密的TLS流量,允许攻击者拦截并窃取以前认为安全可靠的数据。这种新的降级攻击没有像大多数加密攻击那样具有花哨的名字,但是它甚至可以攻击TLS 1.3协议(2018年春天发布的TLS最新版本),其被公认为是安全的协议。新的加密攻击本身并不新鲜,它是原始Bleichenbacher oracle攻击的新变种。
原始Bleichenbacher oracle攻击是以瑞士密码学家Daniel Bleichenbacher的名字命名的,他在1998年演示了第一次实际攻击,针对RSA使用PKCS#1 v1编码方式的加密系统。
多年来,密码学家已经找到了原始攻击的多种变种,例如
2003, 2012, 2012, 2014, 2014, 2014, 2015, 2016(DROWN), 2017(ROBOT), 和 2018。
产生这些攻击变种的原因是:TLS加密协议的作者们仅仅以添加对策的方式使得猜测RSA解密密钥的尝试更加困难,而不是替换不安全的RSA算法。这些对策已在TLS标准(RFC 5246)的第7.4.7.1节中定义,许多硬件和软件供应商多年来一直误解或未能遵循标准协议规定。
这些在实施恰当应对措施(指前文RFC文档描述的应对措施)方面的失败导致许多支持TLS的服务器,路由器,防火墙,VPNs和编码库仍然容易受到Bleichenbacher攻击变种的影响,这些攻击变种在不正确的应对措施中发现并利用了存在的问题。2月6日发表的一篇技术论文中描述了最新的Bleichenbacher攻击变种,题为"Bleichenbacher之猫的9条命:针对TLS协议实现的新缓存攻击"。
来自世界各地的七位研究人员再次发现另一种破解RSA PKCS#1 v1.5的方法,RSA PKCS#1 v1.5,目前用于加密TLS连接的最常见的RSA配置。除了TLS之外,这种新的Bleichenbacher攻击也会对谷歌新的QUIC加密协议有效。
研究人员表示,为了攻破TLS的RSA密钥交换,攻击巧妙的利用了缓存访问时序的侧信道泄漏。即使是较新版本的TLS 1.3协议(其中RSA使用率保持在最低水平),在某些情况下也可以降级为TLS 1.2,新的Bleichenbacher变种攻击得以实施。
研究人员说:“我们对九种不同的TLS实现进行了预防缓存攻击的测试,其中七个被发现是易受攻击的:OpenSSL, Amazon s2n, MbedTLS, Apple CoreTLS, Mozilla NSS, WolfSSL, 和 GnuTLS。”2018年11月,当研究人员发表他们研究论文的初稿时,上述所有受影响的库同时发布了更新版本。
有关更多详细信息,请关注已经为这些新的Bleichenbacher攻击变种分配的安全漏洞CVE标识:CVE-2018-12404,CVE-2018-19608,CVE-2018-16868,CVE-2018-16869和CVE-2018- 16870。
两个不易受攻击的库分别是 BearSSL 和 谷歌的BoringSSL 。
本节转自:SSL中国
TLS 1.2 协议现漏洞,多个网站受影响
TLS 1.2 协议被发现存在漏洞,该漏洞允许攻击者滥用 Citrix 的交付控制器(ADC)网络设备来解密 TLS 流量。“TLS 1.2 存在漏洞的原因,主要是由于其继续支持一种过时已久的加密方法——密码块链接(cipher block-chaining, CBC)。”漏洞挖掘研究小组的计算机安全研究员称。研究员将这两个被发现的漏洞命名为 Zombie POODLE 和GOLDENDOODLE(CVE)。
另外,漏洞还允许中间人攻击(Man-in-the-MiddleAttack)用户加密的 Web 和 Vpn 会话。根据该安全研究员的网站在线扫描结果,在 Alexa 排名前100万的网站中,约有2000个易受 Zombie POODLE 的攻击,1000个网站易受 GOLDENDOODLE 的攻击。
此次攻击所需条件:
HTTPS 服务端使用了 CBC 密码套件;
在被攻击客户端和被攻击服务器之间创建中间人通道 MITM,如建立恶意 WiFi 热点,或者劫持路由器等中间网络设备;
攻击者通过植入用户访问的非加密上的代码,将恶意 JavaScript 注入受害者的浏览器;
恶意脚本构造特定的 HTTPS 请求加密网站,结合中间人旁路监听加密数据,多次请求后即可获得加密数据中的 Cookie 和凭证。
可以如何防范与应对:
确保全站 HTTPS 完整性,杜绝引入不安全的外链(HTTP 脚本资源,尤其是 JavaScript 脚本) ,可以通过一些 SSL 站点安全检测服务(如 MySSL 企业版)进行不安全外链监控;
检查服务器,避免使用 RC4 和 CBC 等不安全密码套件,可以通过 MySSL.com 检测,发现支持的加密套件中避免出现弱密码和包含 CBC 的密码套件;
涉及机密或者重要商业数据的系统加强异常状况监测和巡查,并保持符合 HTTPS 最佳安全实践。