TLS 1.2 協議現漏洞,多個網站受影響
TLS 1.2 協議被發現存在漏洞,該漏洞允許攻擊者濫用 Citrix 的交付控制器(ADC)網路裝置來解密 TLS 流量。“TLS 1.2 存在漏洞的原因,主要是由於其繼續支援一種過時已久的加密方法——密碼塊連結(cipher block-chaining, CBC)。”漏洞挖掘研究小組的電腦保安研究員稱。研究員將這兩個被發現的漏洞命名為 Zombie POODLE 和GOLDENDOODLE(CVE)。
另外,漏洞還允許中間人攻擊(Man-in-the-MiddleAttack)使用者加密的 Web 和 Vpn 會話。根據該安全研究員的網站線上掃描結果,在 Alexa 排名前100萬的網站中,約有2000個易受 Zombie POODLE 的攻擊,1000個網站易受 GOLDENDOODLE 的攻擊。
此次攻擊所需條件:
-
HTTPS 服務端使用了 CBC 密碼套件;
-
在被攻擊客戶端和被攻擊伺服器之間建立中間人通道 MITM,如建立惡意 WiFi 熱點,或者劫持路由器等中間網路裝置;
-
攻擊者通過植入使用者訪問的非加密上的程式碼,將惡意 JavaScript 注入受害者的瀏覽器;
-
惡意指令碼構造特定的 HTTPS 請求加密網站,結合中間人旁路監聽加密資料,多次請求後即可獲得加密資料中的 Cookie 和憑證。
可以如何防範與應對
-
確保全站 HTTPS 完整性,杜絕引入不安全的外鏈(HTTP 指令碼資源,尤其是 JavaScript 指令碼) ,可以通過一些 SSL 站點安全檢測服務(如 MySSL 企業版)進行不安全外鏈監控;
-
檢查伺服器,避免使用 RC4 和 CBC 等不安全密碼套件,可以通過 MySSL.com 檢測,發現支援的加密套件中避免出現弱密碼和包含 CBC 的密碼套件;
-
涉及機密或者重要商業資料的系統加強異常狀況監測和巡查,並保持符合 HTTPS 最佳安全實踐。
參考:darkreading ,nccgroup ,cnBeta