Уязвимость из 1998 года снова в строю – встречайте ROBOT

Недавнее сканирование сайтов из топ 100 по посещаемости выявило что 27 из них, включая Facebook и PayPal cодержали уязвимость, очень похожую на обнаруженную в 1998 году исследователем Даниэлем Блейхенбахером ^[1] (Daniel Bleichenbacher) в SSL. Ошибка в алгоритме управляющем ключами RSA позволяла с помощью определенных запросов расшифровать данные, не имея ключа шифрования. Уязвимость в алгоритме не исправили, а внедрили некие обходные пути, которые закрыли уязвимость.

Спустя 19 лет исследователи вновь применили подобную атаку и выявили что около 2,8% сайтов из первого миллиона уязвимы. Так же уязвимыми оказались программные продукты многих производителей и некоторые проекты с открытым исходным кодом. Список можно посмотреть в этой статье: VERT Threat Alert: Return of Bleichenbacher’s Oracle Threat (ROBOT) ^[2].
Новая уязвимость была названа ROBOT — сокращение от «Return Of Bleichenbacher's Oracle Threat».

Из-за сложности использования (атакующему необходимо осуществить тысячи подключений к уязвимому сайту) уязвимость менее опасна чем знаменитый Heartbleed, но все же требует немедленного внимания. Рекомендуется проверить свои сайты с помощью инструмента The ROBOT Check ^[3] и обновить программное обеспечение. А в долгосрочной перспективе отказаться от использования ключей RSA и начать использовать схемы Elliptic-Curve Diffie-Hellman.

По мотивам статьи: 1998 attack that messes with sites’ secret crypto keys is back in a big way ^[4]

Автор: xl-tech

Источник ^[5]