Уязвимость из 1998 года снова в строю – встречайте ROBOT

в 7:17, , рубрики: attack, hack, robot, rsa, SSL, TLS, vulnerability, информационная безопасность

Недавнее сканирование сайтов из топ 100 по посещаемости выявило что 27 из них, включая Facebook и PayPal cодержали уязвимость, очень похожую на обнаруженную в 1998 году исследователем Даниэлем Блейхенбахером (Daniel Bleichenbacher) в SSL. Ошибка в алгоритме управляющем ключами RSA позволяла с помощью определенных запросов расшифровать данные, не имея ключа шифрования. Уязвимость в алгоритме не исправили, а внедрили некие обходные пути, которые закрыли уязвимость.

Спустя 19 лет исследователи вновь применили подобную атаку и выявили что около 2,8% сайтов из первого миллиона уязвимы. Так же уязвимыми оказались программные продукты многих производителей и некоторые проекты с открытым исходным кодом. Список можно посмотреть в этой статье: VERT Threat Alert: Return of Bleichenbacher’s Oracle Threat (ROBOT).
Новая уязвимость была названа ROBOT — сокращение от «Return Of Bleichenbacher's Oracle Threat».

Из-за сложности использования (атакующему необходимо осуществить тысячи подключений к уязвимому сайту) уязвимость менее опасна чем знаменитый Heartbleed, но все же требует немедленного внимания. Рекомендуется проверить свои сайты с помощью инструмента The ROBOT Check и обновить программное обеспечение. А в долгосрочной перспективе отказаться от использования ключей RSA и начать использовать схемы Elliptic-Curve Diffie-Hellman.

По мотивам статьи: 1998 attack that messes with sites’ secret crypto keys is back in a big way

Автор: xl-tech

Источник

Поделиться

* - обязательные к заполнению поля