雷鋒網2月12日消息，Citrix發(fā)現SSL 3.0協議的后續(xù)版本TLS 1.2協議存在漏洞，該漏洞允許攻擊者濫用Citrix的交付控制器(ADC)網絡設備來解密TLS流量。

Tripwire漏洞挖掘研究小組的計算機安全研究員克雷格?楊(Craig Yang)稱：“TLS 1.2存在漏洞的原因主要是由于其繼續(xù)支持一種過時已久的加密方法：密碼塊鏈接(cipher block-chaining, CBC)，該漏洞允許類似SSL POODLE的攻擊行為。此外，該漏洞允許中間人攻擊（簡稱：MITM攻擊）用戶的加密Web和VPN會話?！?/p>

受到漏洞影響的供應商之一是Citrix，它也是第一個發(fā)布該漏洞補丁的廠商(CVE-2019-6485)。Citrix方面稱，該漏洞可能允許攻擊者濫用Citrix的交付控制器(ADC)網絡設備來解密TLS流量。

Citrix相關負責人稱：“Citrix產品的安全性是至關重要的，我們非常重視所有潛在的漏洞。為了防止POODLE攻擊事件的再次發(fā)生，我們已經應用了適當的補丁來緩解這個問題。此外，我們也建議客戶采取必要的行動來保護他們正在使用的平臺。”

Yang將這兩個新漏洞命名為“Zombie POODLE”和“ GOLDENDOODLE（CVE）”。Citrix已經針對這兩個漏洞對負載平衡器進行了修復，期間他們發(fā)現這些系統并沒有完全拋棄過時的加密方法，這也是這次讓該廠商陷入漏洞危機的最大原因之一。

Yang拒絕透露目前使用TLS 1.2協議的其他廠商，但他認為這些產品會獲取Web應用程序防火墻、負載平衡器權限和遠程訪問SSL vpn，一旦遇到上述漏洞會造成十分嚴重的隱私泄露問題。

但是，Yang警告稱GOLDENDOODLE具有更強大和快速的密碼破解性能，即使供應商已經完全消除了最初的POODLE缺陷，它仍然可能受到此類攻擊。因為這兩個新的漏洞基于5年前在舊的SSL 3.0加密協議中發(fā)現并修補的一個主要設計缺陷。

根據Yang的在線掃描結果，在Alexa排名前100萬的網站中，約有2000個網站易受Zombie POODLE的攻擊，約1000個網站易受GOLDENDOODLE的攻擊，還有數百個網站仍易受五年前就被曝出的舊漏洞POODLE的攻擊。

“這個問題應該在四五年前就得到解決，”Yang稱，一些供應商要么沒有完全消除對老密碼和不太安全的密碼支持，要么沒有完全修補POODLE攻擊本身的缺陷。例如，Citrix并沒有完全修補原來的POODLE攻擊，這為下一代POODLE攻擊留下了空間。

當然，核心問題是HTTPS的底層協議(首先是SSL，現在是TLS)沒有正確地清除過時且不太安全的舊加密方法。對這些較舊協議的支持(主要是為了確保較舊的遺留瀏覽器和客戶機不會被網站鎖定)也會使網站變得脆弱。

雷鋒網得知，Zombie POODLE和GOLDENDOODLE（CVE）漏洞允許攻擊者重新排列加密的數據塊，并通過一個側邊通道查看明文信息。

攻擊是這樣進行的：例如，攻擊者通過植入用戶訪問的非加密網站上的代碼，將惡意JavaScript注入受害者的瀏覽器。一旦瀏覽器被感染，攻擊者可以執(zhí)行MITM攻擊，最終從安全的Web會話中獲取受害者的cookie和憑證。

來源：darkreading

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。