TLS 1.2 协议被发现存在漏洞,该漏洞允许攻击者滥用 Citrix 的交付控制器(ADC)网络设备来解密 TLS 流量。“TLS 1.2 存在漏洞的原因,主要是由于其继续支持一种过时已久的加密方法——密码块链接(cipher block-chaining, CBC)。”漏洞挖掘研究小组的计算机安全研究员称。研究员将这两个被发现的漏洞命名为 Zombie POODLE 和GOLDENDOODLE(CVE)。
另外,漏洞还允许中间人攻击(Man-in-the-MiddleAttack)用户加密的 Web 和 Vpn 会话。根据该安全研究员的网站在线扫描结果,在 Alexa 排名前100万的网站中,约有2000个易受 Zombie POODLE 的攻击,1000个网站易受 GOLDENDOODLE 的攻击。
此次攻击所需条件:
-
HTTPS 服务端使用了 CBC 密码套件;
-
在被攻击客户端和被攻击服务器之间创建中间人通道 MITM,如建立恶意 WiFi 热点,或者劫持路由器等中间网络设备;
-
攻击者通过植入用户访问的非加密上的代码,将恶意 JavaScript 注入受害者的浏览器;
-
恶意脚本构造特定的 HTTPS 请求加密网站,结合中间人旁路监听加密数据,多次请求后即可获得加密数据中的 Cookie 和凭证。
可以如何防范与应对
-
确保全站 HTTPS 完整性,杜绝引入不安全的外链(HTTP 脚本资源,尤其是 JavaScript 脚本) ,可以通过一些 SSL 站点安全检测服务(如 MySSL 企业版)进行不安全外链监控;
-
检查服务器,避免使用 RC4 和 CBC 等不安全密码套件,可以通过 MySSL.com 检测,发现支持的加密套件中避免出现弱密码和包含 CBC 的密码套件;
-
涉及机密或者重要商业数据的系统加强异常状况监测和巡查,并保持符合 HTTPS 最佳安全实践。
