PUDL

POODLE ( Padding Oracle On  Downgraded Legacy Encryption ) je typ útoku v počítačové bezpečnosti , jako je „ man in the middle “, kdy útočník zablokováním TLS 1.0 a zvýšením počtu pokusů o připojení způsobí, že internetoví klienti a uživatelé používají SSL . bezpečnostní software verze 3.0 násilně [1] . Poté, co byl systém vrácen zpět na SSL 3.0, útočník použije útok Padding Oracle .

Historie

Tento typ zranitelnosti objevili členové bezpečnostního týmu Google Bodo Möller, Tai Duong a Krzysztof Kotowicz [1] . Veřejně oznámili objevení zranitelnosti 14. října 2014 [2] , přestože odpovídající článek je datován o něco dříve - září 2014. Dne 8. prosince téhož roku byla oznámena verze zranitelnosti typu POODLE, která ovlivňuje i provoz TLS [3] . Původní zranitelnost POODLE byla přidána do databáze Commonly Known Information Security Vulnerabilities ( CVE ) s identifikátorem CVE -2014-3566 [4] . Společnost F5 Networks také požádala o přidání verze útoku POODLE proti TLS do databáze , které byl přidělen identifikátor CVE -2014-8730 [5] .

Vzhledem k tomu, že tento útok využívá zranitelnosti protokolu SSL 3.0 a problém těchto zranitelností neexistuje rozumné řešení, bylo pro zajištění bezpečného připojení nutné zcela opustit používání tohoto protokolu [1 ] . V říjnu 2014 Google oznámil svůj záměr v nejbližších měsících zcela ukončit podporu protokolu SSL 3.0 ve svých produktech [6] . Možnost přechodu na SSL 3.0 byla zakázána v Chrome 39, vydaném v listopadu 2014 [7] . Podpora protokolu SSL 3.0 byla ve výchozím nastavení v Chrome 40, vydaném v lednu 2015, ukončena [8] . Dne 29. října 2014 společnost Microsoft vydala opravu hotfix, která zakázala podporu SSL 3.0 v aplikaci Internet Explorer a Windows Vista / Server 2003 a novějších. Ve stejný den Microsoft oznámil, že během několika měsíců plánuje standardně zakázat podporu SSL 3.0 ve svých produktech a službách [9] . Dne 10. února 2015 společnost Microsoft zakázala možnost přechodu na SSL 3.0 v prohlížečích Internet Explorer 11 pro weby v zabezpečeném režimu [10] . U ostatních webů tak bylo provedeno 14. dubna 2015 [11] .

Princip útoku

POODLE je příkladem zranitelnosti , kterou lze úspěšně zneužít mechanismem navrženým tak, aby záměrně snížil zabezpečení odkazu kvůli kompatibilitě. Pro práci se staršími servery používá mnoho klientů TLS takzvaný „downgrade dance“, který je následující: při prvním pokusu o navázání komunikace pomocí protokolu TLS klient vyzve server, aby použil nejnovější verzi podporovaného TLS . ze strany klienta . Pokud tento pokus selže, klient se pokusí navázat spojení pomocí starší verze protokolu TLS , dokud není spojení navázáno. Toto záměrné snížení zabezpečení klientem může být způsobeno výpadky sítě i škodlivými útoky. Pokud tedy útočník, který ovládá síťovou část mezi serverem a klientem, zasáhne do procesu TLS handshake a zahodí všechny klientské zprávy s nabídkou navázání zabezpečeného připojení pomocí protokolu TLS verze 1.0 a vyšší, klienti, kteří podporují „downgrade“ dance“ budou připraveni omezit se na méně bezpečný protokol SSL 3.0 . Výsledkem je, že ke skrytí dat se používají nezabezpečené šifrovací sady SSL , které používají buď proudovou šifru RC4 , nebo šifrovací režim CBC , který je náchylný k útoku Padding Oracle . V případě úspěšného zneužití této chyby zabezpečení by útočníkovi stačilo provést průměrně 256 požadavků SSL 3.0 , aby úspěšně dešifroval 1 bajt zašifrovaných zpráv [1] [12] [13] .

Při navrhování systémů umístěných ve vysoce fragmentovaných doménách je zapotřebí větší opatrnosti, protože tyto domény mohou mít rozšířený mechanismus pro downgrade zabezpečení odkazu ze strany útočníků . Jedním ze způsobů, který umožňuje útočníkovi snížit ochranu kanálu, je emulace přerušení komunikace při použití protokolu TLS [14] .

Prevence útoků

Jedním ze způsobů, jak zabránit útokům POODLE, je úplné zakázání podpory protokolu SSL 3.0 na straně klienta i na straně serveru . Někteří starší klienti a servery však nemusí podporovat TLS verze 1.0 nebo vyšší. V takových případech autoři článku o útocích POODLE doporučují, aby prohlížeč a server podporovaly mechanismus TLS_FALLBACK_SCSV [15] , který brání útočníkům ve zneužití zranitelnosti [1] .

Dalším přístupem k ochraně před zranitelností je implementace mechanismu „Anti-POODLE record splitting“ – rozdělení dat do několika částí, z nichž každá zaručeně nebude napadena touto zranitelností . Problémem přístupu sdílení dat je však to, že navzdory přesné implementaci mechanismu v souladu se specifikací se tento přístup nevyhýbá problémům s kompatibilitou kvůli nedostatkům na serverové straně mechanismu [16]

Například v prohlížeči Opera 25 je tento mechanismus implementován navíc k mechanismu "TLS_FALLBACK_SCSV" [17] . Různé verze prohlížečů Google Chrome a souvisejících serverů také poskytovaly podporu pro mechanismus „TLS_FALLBACK_SCSV“. Mozilla zakázala podporu SSL 3.0 ve svých prohlížečích Firefox 34 a ESR 31.3 vydaných v prosinci 2014 a podporovala mechanismus „TLS_FALLBACK_SCSV“ ve Firefoxu 35 [18]

Společnost Microsoft zveřejnila bezpečnostní upozornění, které vysvětluje, jak zakázat SSL 3.0 v aplikaci Internet Explorer a OS Windows [19] .

Prohlížeč Safari společnosti Apple (pro OS X 10.8, iOS 8.1 a novější) čelil útokům POODLE tím, že zavrhl všechny protokoly CBC v SSL 3.0 , ale tento přístup stále poskytoval podporu pro RC4 , který je také náchylný k útokům RC4 na protokol SSL 3.0 [20 ] . Zranitelnost útoku POODLE byla zcela uzavřena v OS X 10.11 (El Capitan 2015) a iOS 9 (2015). Aby se zabránilo útokům POODLE, byly některé služby (například CloudFlare a Wikimedia) zakázány pro SSL 3.0 [21] .

Sada knihoven Network Security Services verze 3.17.1 a 3.16.2.3 poskytovala podporu pro mechanismus "TLS_FALLBACK_SCSV" [22] [23] , následně byla podpora protokolu SSL 3.0 ve výchozím nastavení zakázána [24] . Knihovny OpenSSL verze 1.0.1j, 1.0.0o a 0.9.8zc poskytují podporu pro mechanismus "TLS_FALLBACK_SCSV" [25] . V LibreSSL verze 2.1.1 je podpora SSL 3.0 ve výchozím nastavení zakázána [26] .

POODLE útoky zaměřené na TLS

Nová variace klasického útoku POODLE byla oznámena 8. prosince 2014 [3] . Tento typ útoku využívá nedostatky v implementaci režimu šifrování CBC v protokolech TLS 1.0 - 1.2. I když specifikace TLS vyžadují , aby servery kontrolovaly takzvanou „výplň“ (soubor dalších bitů přidaných ke klíči , heslu nebo prostému textu šifrováním, aby se skryla jejich skutečná hodnota), některé implementace tohoto protokolu si neporadí. s jejich správnou validací, která ponechává některé servery zranitelné vůči útokům POODLE, i když je zakázáno SSL 3.0. Tento typ útoku POODLE je považován za nebezpečnější než klasický, protože útočníci nemusí při útoku uměle způsobovat, že se ochrana kanálu vrátí zpět na SSL 3.0, což znamená , že k dokončení úspěšného útoku je potřeba méně operací . . Projekt SSL Pulse zjistil, že „přibližně 10 % všech serverů je ovlivněno modifikačními útoky TLS POODLE“ ještě před oznámením této chyby zabezpečení [27] . Této chybě bylo přiřazeno CVE-ID CVE-2014-8730 v implementaci TLS společnosti F5 Networks. Informace z National Vulnerability Database od NIST ukazují, že toto CVE-ID je přiřazeno k chybným implementacím TLS prováděným pouze sítěmi F5. Jiní dodavatelé, kteří mají stejnou chybu implementace „vycpávky“ (například A10 a Cisco Systems ), by měli podle National Vulnerability Database vydávat vlastní CVE-ID , protože jejich verze TLS nefungují správně kvůli chybě v protokolu, ale chybná implementace tohoto protokolu [5]

Poznámky

  1. 1 2 3 4 5 Bodo Möller, Thai Duong, Krzysztof Kotowicz. This POODLE Bites: Exploiting The SSL 3.0 Fallback (září 2014). Získáno 11. prosince 2019. Archivováno z originálu 14. října 2014.
  2. Brandom, Russell. Výzkumníci společnosti Google odhalili novou chybu pudla, která uvádí web do pohotovosti (14. října 2014). Staženo 11. prosince 2019. Archivováno z originálu 11. prosince 2019.
  3. 12 Langley , Adam. PUDLÍ opět kouše (8.12.2014). Datum přístupu: 8. prosince 2014. Archivováno z originálu 19. prosince 2017.
  4. Národní institut pro standardy a technologie. Detail CVE-2014-3566 (14.10.2014). Staženo 11. prosince 2019. Archivováno z originálu 12. prosince 2019.
  5. 1 2 Národní institut pro standardy a technologie. Detail CVE-2014-8730 (01.02.2017). Staženo 11. prosince 2019. Archivováno z originálu 11. prosince 2019.
  6. Möller, Bodo Tento POODLE kousne: využití záložního protokolu SSL 3.0 . Blog Google Online Security . Google (prostřednictvím Blogspotu) (14. října 2014). Získáno 15. října 2014. Archivováno z originálu 20. ledna 2015.
  7. Ilascu, Ionut. Chrome 39 deaktivuje SSLv3 Fallback, odměny 41 500 $ / 33 000 EUR v odměnách . Softpedia. Získáno 3. prosince 2014. Archivováno z originálu 11. prosince 2019.
  8. Problém 693963003: Přidejte řízení minimální verze TLS do about:flags a Finch gate it. . Recenze kódu Chromium . Získáno 16. dubna 2015. Archivováno z originálu 16. dubna 2015.
  9. Bezpečnostní upozornění 3009008 revidováno (odkaz není k dispozici) . Microsoft TechNet . Microsoft (29. října 2014). Získáno 30. října 2014. Archivováno z originálu 30. října 2014. 
  10. Oot, Alec. Prosinec 2014 Aktualizace zabezpečení aplikace Internet Explorer a zakázání záložního protokolu SSL 3.0 . Microsoft (9. prosince 2014). Získáno 9. prosince 2014. Archivováno z originálu 16. prosince 2014.
  11. Aktualizace zabezpečení z února 2015 pro Internet Explorer . IEBlog (14. dubna 2015). Získáno 15. dubna 2015. Archivováno z originálu 17. dubna 2015.
  12. Jasný, Petře . SSL přerušeno, opět v útoku POODLE , Ars Technica (15. října 2014). Archivováno z originálu 8. července 2017. Staženo 11. prosince 2019.
  13. Brandom, Russell Výzkumníci společnosti Google odhalili novou chybu pudla, která uvádí web do pohotovosti (14. října 2014). Staženo 11. prosince 2019. Archivováno z originálu 11. prosince 2019.
  14. Hagai Bar-El. Chyba pudla a IoT . Získáno 15. října 2014. Archivováno z originálu dne 27. března 2016.
  15. B. Moeller, A. Langley. RFC 7507: TLS Fallback Signaling Cipher Suite Value (SCSV) pro prevenci útoků na downgrade protokolu . IETF (duben 2015). Staženo 11. prosince 2019. Archivováno z originálu 12. prosince 2019.
  16. Langley, Adam POODLE útočí na SSLv3 . imperialviolet.org (14. října 2014). Získáno 16. října 2014. Archivováno z originálu 8. dubna 2016.
  17. Molland, Håvard Bezpečnostní změny v Opeře 25; pudl útočí . Operní bezpečnostní blog . Opera (15. října 2014). Datum přístupu: 16. října 2014. Archivováno z originálu 22. října 2015.
  18. Útok POODLE a konec SSL 3.0 . Blog Mozilly . Mozilla (14. října 2014). Získáno 15. října 2014. Archivováno z originálu 10. dubna 2016.
  19. Chyba zabezpečení v SSL 3.0 může umožnit zpřístupnění informací . Microsoft TechNet . Microsoft (14. října 2014). Získáno 15. října 2014. Archivováno z originálu 6. dubna 2016.
  20. Podrobnosti o aktualizaci zabezpečení 2014-005 . apple.com (24. dubna 2015). Staženo 11. prosince 2019. Archivováno z originálu 11. prosince 2019.
  21. Informace o bezpečnostních problémech, které řeší aktualizace iOS 8.1 . apple.com (30. března 2015). Staženo 11. prosince 2019. Archivováno z originálu 11. prosince 2019.
  22. Poznámky k vydání NSS 3.17.1 . Mozilla (3. října 2014). Získáno 27. října 2014. Archivováno z originálu 19. dubna 2019.
  23. Poznámky k vydání NSS 3.16.2.3 . Mozilla (27. října 2014). Získáno 27. října 2014. Archivováno z originálu 19. dubna 2019.
  24. Zakázat SSL 3 ve výchozím nastavení v NSS v dubnu 2015 . mozilla.dev.tech.crypto (27. října 2014). Získáno 11. prosince 2019. Archivováno z originálu 8. prosince 2019.
  25. Bezpečnostní rada OpenSSL [15. října 2014 ] . OpenSSL (15. října 2014). Získáno 11. prosince 2019. Archivováno z originálu 13. srpna 2015.
  26. Vydán LibreSSL 2.1.1. . LibreSSL (16. října 2014). Získáno 20. října 2014. Archivováno z originálu dne 23. března 2019.
  27. Ristič, Ivane. Pudl Bites TLS (8. prosince 2014). Získáno 8. prosince 2014. Archivováno z originálu 16. ledna 2016.