雷鋒網(wǎng)2月12日消息，Citrix發(fā)現(xiàn)SSL 3.0協(xié)議的后續(xù)版本TLS 1.2協(xié)議存在漏洞，該漏洞允許攻擊者濫用Citrix的交付控制器(ADC)網(wǎng)絡設備來解密TLS流量。

Tripwire漏洞挖掘研究小組的計算機安全研究員克雷格?楊(Craig Yang)稱：“TLS 1.2存在漏洞的原因主要是由于其繼續(xù)支持一種過時已久的加密方法：密碼塊鏈接(cipher block-chaining, CBC)，該漏洞允許類似SSL POODLE的攻擊行為。此外，該漏洞允許中間人攻擊（簡稱：MITM攻擊）用戶的加密Web和VPN會話?！?/p>

受到漏洞影響的供應商之一是Citrix，它也是第一個發(fā)布該漏洞補丁的廠商(CVE-2019-6485)。Citrix方面稱，該漏洞可能允許攻擊者濫用Citrix的交付控制器(ADC)網(wǎng)絡設備來解密TLS流量。

Citrix相關負責人稱：“Citrix產(chǎn)品的安全性是至關重要的，我們非常重視所有潛在的漏洞。為了防止POODLE攻擊事件的再次發(fā)生，我們已經(jīng)應用了適當?shù)难a丁來緩解這個問題。此外，我們也建議客戶采取必要的行動來保護他們正在使用的平臺。”

Yang將這兩個新漏洞命名為“Zombie POODLE”和“ GOLDENDOODLE（CVE）”。Citrix已經(jīng)針對這兩個漏洞對負載平衡器進行了修復，期間他們發(fā)現(xiàn)這些系統(tǒng)并沒有完全拋棄過時的加密方法，這也是這次讓該廠商陷入漏洞危機的最大原因之一。

Yang拒絕透露目前使用TLS 1.2協(xié)議的其他廠商，但他認為這些產(chǎn)品會獲取Web應用程序防火墻、負載平衡器權(quán)限和遠程訪問SSL vpn，一旦遇到上述漏洞會造成十分嚴重的隱私泄露問題。

但是，Yang警告稱GOLDENDOODLE具有更強大和快速的密碼破解性能，即使供應商已經(jīng)完全消除了最初的POODLE缺陷，它仍然可能受到此類攻擊。因為這兩個新的漏洞基于5年前在舊的SSL 3.0加密協(xié)議中發(fā)現(xiàn)并修補的一個主要設計缺陷。

根據(jù)Yang的在線掃描結(jié)果，在Alexa排名前100萬的網(wǎng)站中，約有2000個網(wǎng)站易受Zombie POODLE的攻擊，約1000個網(wǎng)站易受GOLDENDOODLE的攻擊，還有數(shù)百個網(wǎng)站仍易受五年前就被曝出的舊漏洞POODLE的攻擊。

“這個問題應該在四五年前就得到解決，”Yang稱，一些供應商要么沒有完全消除對老密碼和不太安全的密碼支持，要么沒有完全修補POODLE攻擊本身的缺陷。例如，Citrix并沒有完全修補原來的POODLE攻擊，這為下一代POODLE攻擊留下了空間。

當然，核心問題是HTTPS的底層協(xié)議(首先是SSL，現(xiàn)在是TLS)沒有正確地清除過時且不太安全的舊加密方法。對這些較舊協(xié)議的支持(主要是為了確保較舊的遺留瀏覽器和客戶機不會被網(wǎng)站鎖定)也會使網(wǎng)站變得脆弱。

雷鋒網(wǎng)得知，Zombie POODLE和GOLDENDOODLE（CVE）漏洞允許攻擊者重新排列加密的數(shù)據(jù)塊，并通過一個側(cè)邊通道查看明文信息。

攻擊是這樣進行的：例如，攻擊者通過植入用戶訪問的非加密網(wǎng)站上的代碼，將惡意JavaScript注入受害者的瀏覽器。一旦瀏覽器被感染，攻擊者可以執(zhí)行MITM攻擊，最終從安全的Web會話中獲取受害者的cookie和憑證。

來源：darkreading

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。