10. 12. 2014

V říjnu jsme informovali o vážné zranitelnosti POODLE (CVE-2014-3566), která v případě útoku typu „man-in-the-middle“ využívala chyb v protokolu SSL 3.0. Většina prohlížečů v reakci na tuto skutečnost začala omezovat podporu tohoto protokolu nebo přijímala další opatření. Pro běžné uživatele stačilo používání protokolu SSL 3.0 zakázat a striktně využívat novější protokol TLS (Transaction Layer Security).

Výzkumníci laboratoře Qualys ovšem zjistili, že některé implementace protokolu TLS 1.x na síťových zařízeních (jako například Load balancery) jsou rovněž náchylné k útoku „man-in-the-middle“. Navíc oproti původnímu POODLE nyní útočník nemusí vynucovat downgrade zabezpečení spojení až na SSL v3.0.

Charakteristika zranitelnosti

Přestože je TLS protokol (oproti staršímu SSL) velmi striktní v tom, jak je formátován jeho padding, ukazuje se, že po dešifrování v některých implementacích vypouští kontrolu struktury paddingu. Útočník tak v pozici „man-in-the-middle“ může zachytit komunikaci mezi uživatelem a serverem a pomocí vložení upraveného škodlivého skriptu (JavaScript) zahájit útok. Pomocí skriptu je prohlížeč opakovaně nucen načítat data z cílové stránky včetně části cookies, z nichž je po 256 opakování možno dešifrovat jeden znak.

Postižené systémy

Platformy a zejména webové prohlížeče, skrze které uživatelé komunikují pomocí protokolu SSL nebo TLS do verze 1.2 (včetně) s šifrovací sadou AEAD. Podle informací zveřejněných na blogu laboratoře Qualys je proti POODLE v2.0 zranitelných asi 10 % serverů.

Dopad zranitelnosti

Chyba umožňuje útočníkovi získat a dešifrovat některé informace z obsahu cookies.

Řešení

Zkontrolujte své webové stránky na zranitelnost pomocí testu SSL Labs. Pokud se jeví jako zranitelné, aplikujte patch od vašeho dodavatele zařízení.

CVE

CVE-2014-8730

Odkazy

https://community.qualys.com/blogs/securitylabs/2014/12/08/poodle-bites-tls
http://securityaffairs.co/wordpress/30952/hacking/poodle-tls-flaw.html
http://www.techworm.net/2014/12/poodle-vulnerability-rises-time-tls.html
https://www.imperialviolet.org/2014/12/08/poodleagain.html
http://arstechnica.com/security/2014/12/meaner-poodle-bug-that-bypasses-tls-crypto-bites-10-percent-of-websites/