安全播报:新型POODLE攻击漏洞,影响TLS 1.2协议
发布日期:2019-02-14影响SSL 3.0加密协议的“Poodle攻击”缺陷并没有消失,近期一位安全研究人员在新的TLS1.2协议中发现了2个相关的新漏洞。
安全研究员克雷格·杨发现TLS 1.2中存在类似于POODLE攻击的安全漏洞,因为TLS 1.2支持长期过时的加密方法:密码块链接(CBC),这些缺陷允许中间人攻击用户的Web和VPN加密会话。克雷格·杨将两个新漏洞命名为Zombie POODLE 和GOLDENDOODLE。根据杨的在线扫描调查结果显示,目前Alexa排名前100万的网站中有大约2000个网站容易受到Zombie POODLE的攻击,其中大约有1000个容易受到GOLDENDOODLE攻击,还有数百个仍然容易受到POODLE攻击。
如同POODLE攻击一样,新的Zombie POODLE 和GOLDENDOODLE攻击允许攻击者重新排列加密的数据块,并通过旁路监听查看明文信息。这类攻击的路径是这样的:
- 攻击者将恶意代码植入受害者所访问的未加密网站,从而将恶意JavaScript注入受害者的浏览器。
- 一旦浏览器被感染,攻击者就可以执行中间人攻击,从受保护的Web会话中获取受害者的Cookie和凭据。
尽管如此,用户也无需恐慌,POODLE攻击以及新的Zombie POODLE 和GOLDENDOODLE攻击执行起来并不容易,必备条件是攻击者必须在受害者的网络中或通过WIFI发起中间人攻击。
杨说,“每一次攻击都必须具有针对性,从攻击者的角度来看,你必须知道你的目标是谁以及他们正在运行的系统是什么样的,以便你预计想要窃取的敏感数据在什么位置,这类攻击的目的是窃取身份验证Cookie。”杨表示,POODLE系列的攻击不太可能被网络犯罪分子利用,不过一旦发生这类攻击将很难被检测到。
POODLE系列攻击漏洞存在的原因是,很多硬件加速产品、Web应用防火墙、负载平衡器和远程访问SSL VPN等产品供应商,要么没有完全取消对较旧的和安全性较低的密码的支持,要么没有为POODLE攻击漏洞本身进行安全修复。另一个核心问题是,为了确保较旧的浏览器和客户端兼容性,TLS 协议仍然支持一些较旧加密算法和策略,例如CBC和RC4。
针对POODLE系列攻击的长期修复方法,就是采用最新版本的TLS 1.3协议,该协议已经删除了像CBC这样较旧的加密方法。而没有准备好启用TLS 1.3协议的网站,可以在其基于TLS 1.2协议的系统中禁用所有CBC加密套件,以保护自己免受新型POODLE攻击。此外,沃通CA建议:为所有网站启用HTTPS加密、告知用户不使用未知的公共WIFI,也是防范POODLE系列攻击的关键。
如果您对此漏洞威胁有任何疑虑,欢迎联系沃通CA技术支持,为您提供安全检测和技术支持服务。
电话:0755-2602 7828
手机:188 2282 8659
消息来源DARKReading, 沃通CA翻译整理
最新资讯
Windows\Apple\Mozilla\Android删除根证书的方法
标签推荐:数字证书申请 | 域名ssl证书 | https证书申请| 数字证书过期| 网站证书安装| ssl证书更新| 小程序证书| 驱动数字签名| 微软代码签名| android数字签名| java代码签名| ssl证书部署| 时间戳技术| 电子签名技术| https证书配置| SQL注入| tomcat数字证书