Atacul numit „Drown” decriptează sesiunile TLS ce rulează pe serverele care suportă SSL v2 şi folosesc RSA key exchange.
O echipa internaţională de cercetători a descoperit un atac care poate compromite traficul de reţea criptat în numai câteva ore.
„Drown” (Decrypting RSA with Obsolete and Weakened Encryption) decriptează cu succes sesiunile TLS (Transport layer security) eploatand o vulnerabilitate în protocolul mai vechi SSL v2 ce lasă descoperite cheile private RSA. Încă o dată, vechea criptografie afectează securitatea tuturor comunicaţiilor online.
Drown se diferenţiază de alte atacuri TLS prin faptul că nu este necesar ca serverle să utilizeze versiunea mai veche; atacul va reuşi atâta timp cât sistemul vizat suportă SSL v2. Atacul trans-protocol (CVE-2106-0800) ar putea duce la decriptarea oricărei sesiuni ce foloseşte protocolul SSL / TLS atâta timp cât serverul suportă SSL v2 şi folosetse chei private RSA, au afirmat cercetătorii într-un raport tehnic.
Prin efectuarea unor solicitări repetate de conexiune SSL v2, cercetătorii au descoperit fragmente de informaţii despre cheia RSA privată a serverului. După mai multe solicitări, ei au reuşit să obţină cheia privată pentru a decoda sesiunile TLS. Scopul atacului se extinde dacă organizaţia reutilizează cheia privată RSA pe servere, chiar dacă sunt utilizate certificate diferite.
SSL v2, lansat în 1995 şi retras în mai puţin de un an din cauza slăbiciunilor majore, este suficient de vechi încât e puţin probabil ca cineva să mai folosească această versiune. Browserele şi clienţii de email nu acceptă SSL v2, însă multe servere şi echipamente de reţea încă mai pot folosi această versiune. Dacă un computer solicită în mod specific să stabilească o sesiune SSL v2, acele servere ar trece pe protocolul vulnerabil în loc să utilizeze protocolul implicit şi sigur TLS.
„De mai mulţi ani, argumentul pentru a nu dezactiva SSL v2 a fost că oricum nu îl foloseşte nici un browser, deci nu există un pericol iminent”, a declarat Ivan Ristic, director de inginerie la Qualys.
Drown ilustrează inconştienţa acestui mod de a gândi, deoarece criptarea învechită poate fi periculoasă chiar dacă nu este folosită în mod activ. Toţi administratorii trebuie să dezactiveze imediat SSL v2 de pe toate serverele lor, în cazul în care aceştia mai folosesc acest protocol.
Atacul este agravat de două implementări adiţionale în OpenSSL, determinând echipa de proiect să lanseze versiunile 1.0.2g şi 1.0.1s pentru a rezolva problemele.
Problema cu OpenSSL
OpenSSL versiunile 1.0.2, 1.0.1l, 1.0.0q, 0.9.8ze, cât şi cele anterioare au o vulnerabilitate ce face mai uşoară rularea de versiuni mai ieftine dar mai eficiente ale lui Drown (CVE-1026-0703 şi CVE 2016-0704). În cazul unui atac, cel care vizează un server vulnerabil ar trebui să urmărească 1000 de apeluri TLS, să iniţieze 40.000 de conexiuni SSL v2, şi să opereze 250 de comenzi offline pentru a decripta un text cifru RSA TLS de 2048-biţi. Pe sistemele ce rulează versiuni vulnerabile de OpenSSL, atacatorul poate obţine o cheie pentru una din 260 de conexiuni după ce rulează aproximativ 17.000 de conexiuni sondă. Calculul durează mai puţin de un minut pe un PC rapid.
„În cazul în care condiţiile sunt corecte, acelaşi defect SSLv2 poate fi folosit şi pentru atacuri MITM în timp real şi chiar împotriva unor servere care nu acceptă deloc schimburi de chei RSA”, a mai declarat Ristic.
OpenSSL versiunile 1.0.2a, 1.0.1m, 1.0.0r şi 0.9.8zf lansate în martie 2015 şi mai târziu nu sunt vulnerabile la această versiune eficientă a atacului Drown. În actualizarea din martie 2015 a fost refăcut codul care conţine vulnerabilitatea pentru a remedia un defect diferit (CVE 2015-0293), închizând astfel calea atacului.
În cea mai recentă actualizare, Open SSL a dezactivat implicit protocolul SSL v2 şi a şters cifrurile SSL v2 EXPORT. Administratorii sunt rugaţi să actualizeze versiunile vulnerabile ale OpenSSL cât mai curând posibil.
„Utilizatorii pot evita această problemă dezactivând protocolul SSLv2 pe toate serverele SSL / TLS, în cazul în care nu au făcut-o deja.”, a scris echipa de proiect OpenSSL în avizul său de securitate.
Detalii despre actualizarea OpenSSL
Conform recomandării OpenSSL, există câteva avertismente pentru serverele ce rulează versiuni vulnerabile ale OpenSSL. Pentru servere ce rulează OpenSSL 1.0.1r, 1.0.2f sau ulterioare este suficientă dezactivarea tuturor cifrurilor SSLv2. Pentru versiunile mai vechi, dezactivarea acestora nu va fi suficientă deoarece clienţii rău-intenţionaţi pot forţa serverul să utilizeze SSLv2 folosind cifruri EXPORT. În aceste cazuri, SSLv2 va trebui dezactivată.
Actualizarea OpenSSL a abordat, de asemenea, alte cinci vulnerabilităţi cu sveritate redusă: un bug dublu-free (CVE 2016-0705) care ar putea duce la un atac „denial-of-service” sau de corupere a memoriei pentru aplicaţiile care primesc chei private DSA din surse suspecte; o scurgere de memorie în metoda de căutare SRP_VBASE_get_by_user (CVE-2016-0798); un atac de canal secundar care utilizează conflicte de tip cache-bank pe microarhitectura Intel Sandy Bridge (CVE 2016-0702); probleme de memorie în funcţiile BIO_*printf (CVE 2016-0799); şi un bug null pointer deref/heap corupt în funcţia BN_hex2bn (CVE 2016-0797).
Există tendinţa de a păstra versiuni mai vechi de tehnologie „doar ca să fie”, în caz că cineva are nevoie sau în caz că un proces se bazează pe aceasta. Modul de a gândi că atâta timp cât nu este utilizat în mod curent, un program nu poate pune siguranţa online în pericol este complet greşit. Drown se alătură în topul tipurilor de atac recente, Logjam şi FREAK, demonstrând astfel că şi protocoalele scoase din uz pot fi atacate.
Comentarii