2014年一個主要的設計缺陷在舊的SSL 3.0加密協議中發現並修補,該協議暴露了所謂的POODLE攻擊的安全會話,並沒有真正消亡:一位研究人員在新的TLS中發現了兩個新的相關漏洞1.2加密協議。研究人員Craig Young將在今年3月在新加坡的Black Hat Asia會議上詳細介紹他的發現,目前拒絕透露正在開發補丁的其他供應商,但他表示,這些產品包括Web應用防火牆,負載平衡器和遠端訪問SSL VPN。
Craig Young 已將兩個新的缺陷命名為 Zombie POODLE 和GOLDENDOODLE(CVE)。使用Zombie POODLE,他能夠在Citrix負載均衡器中恢復POODLE攻擊,並對一些尚未完全根除過時加密方法的系統上的POODLE攻擊進行微調。與此同時,GOLDENDOODLE是一種類似的攻擊,但具有更強大,更快速的加密駭客攻擊效能。Young警告說,即使供應商完全消除了原有的POODLE缺陷,它仍然可能容易受到GOLDENDOODLE攻擊。
此攻擊所需條件:
1、HTTPS服務端使用了CBC密碼套件;
2、在被攻擊客戶端和被攻擊伺服器之間建立中間人通道MITM,如建立惡意WiFi熱點,或者劫持路由器等中間網路裝置;
3、攻擊者透過植入使用者訪問的非加密網站上的程式碼,將惡意JavaScript注入受害者的瀏覽器;
4、惡意指令碼構造特定的HTTPS請求加密網站,結合中間人旁路監聽加密資料,多次請求後即可獲得加密資料中的Cookie和憑證。
如何防範與應對?
1、確保全站HTTPS完整性,杜絕引入不安全的外鏈(HTTP指令碼資源,尤其是JavaScript指令碼) ,可以透過一些SSL站點安全檢測服務(如MySSL企業版)進行不安全外鏈監控;
2、檢查伺服器,避免使用RC4和CBC等不安全密碼套件,透過MySSL.com檢測,發現支援的加密套件中避免出現弱密碼和包含CBC的密碼套件;
3、涉及機密或者重要商業資料的系統加強異常狀況監測和巡查,並保持符合HTTPS最佳安全實踐。
參考閱讀:https://www.darkreading.com/vulnerabilities---threats/new-zombie-poodle-attack-bred-from-tls-flaw/d/d-id/1333815
2014年一個主要的設計缺陷在舊的SSL 3.0加密協議中發現並修補,該協議暴露了所謂的POODLE攻擊的安全會話,並沒有真正消亡:一位研究人員在新的TLS中發現了兩個新的相關漏洞1.2加密協議。研究人員Craig Young將在今年3月在新加坡的Black Hat Asia會議上詳細介紹他的發現,目前拒絕透露正在開發補丁的其他供應商,但他表示,這些產品包括Web應用防火牆,負載平衡器和遠端訪問SSL VPN。
Craig Young 已將兩個新的缺陷命名為 Zombie POODLE 和GOLDENDOODLE(CVE)。使用Zombie POODLE,他能夠在Citrix負載均衡器中恢復POODLE攻擊,並對一些尚未完全根除過時加密方法的系統上的POODLE攻擊進行微調。與此同時,GOLDENDOODLE是一種類似的攻擊,但具有更強大,更快速的加密駭客攻擊效能。Young警告說,即使供應商完全消除了原有的POODLE缺陷,它仍然可能容易受到GOLDENDOODLE攻擊。
此攻擊所需條件:
1、HTTPS服務端使用了CBC密碼套件;
2、在被攻擊客戶端和被攻擊伺服器之間建立中間人通道MITM,如建立惡意WiFi熱點,或者劫持路由器等中間網路裝置;
3、攻擊者透過植入使用者訪問的非加密網站上的程式碼,將惡意JavaScript注入受害者的瀏覽器;
4、惡意指令碼構造特定的HTTPS請求加密網站,結合中間人旁路監聽加密資料,多次請求後即可獲得加密資料中的Cookie和憑證。
如何防範與應對?
1、確保全站HTTPS完整性,杜絕引入不安全的外鏈(HTTP指令碼資源,尤其是JavaScript指令碼) ,可以透過一些SSL站點安全檢測服務(如MySSL企業版)進行不安全外鏈監控;
2、檢查伺服器,避免使用RC4和CBC等不安全密碼套件,透過MySSL.com檢測,發現支援的加密套件中避免出現弱密碼和包含CBC的密碼套件;
3、涉及機密或者重要商業資料的系統加強異常狀況監測和巡查,並保持符合HTTPS最佳安全實踐。
參考閱讀:https://www.darkreading.com/vulnerabilities---threats/new-zombie-poodle-attack-bred-from-tls-flaw/d/d-id/1333815