Lỗ hổng POODLE lại xuất hiện ở dạng nguy hiểm hơn
10:26 | 15/12/2014 | LỖ HỔNG ATTT
Một số website của những tổ chức lớn như Bank of America, VMware, Bộ Cựu chiến binh Hoa Kỳ… được xác định là có thể bị tấn công qua một biến thể của lỗ hổng có tên Padding Oracle On Downgraded Legacy Encryption - POODLE.
Lỗ hổng này được phát hiện cách đây hai tháng, cho phép những tin tặc đang nắm quyền giám sát các kết nối Wi-Fi (hay các kết nối khác) không bảo mật, có thể giải mã các kết nối HTTPS dùng giao thức SSL phiên bản 3. Các nhà phát triển trình duyệt nhanh chóng giải quyết vấn đề bằng cách loại bỏ việc sử dụng SSLv3.
Tuy nhiên, đến đầu tháng 12/2014 thì một biến thể của lỗ hổng đó lại xuất hiện và có thể phát huy tác dụng với các phiên bản mới của giao thức: nó có thể dùng để tấn công cả TLS 1.2. Danh sách các website “yếu kém” nêu ở đầu bài viết này là do một dịch vụ kiểm tra miến phí - SSL Server Test (https://www.ssllabs.com/ssltest/) - của công ty bảo mật Qualys phát hiện.
Nếu POODLE đòi hỏi tin tặc phải thực hiện khá nhiều công đoạn phức tạp, trong đó điều bắt buộc là giả các gói tin trao đổi giữa máy chủ và máy khách để buộc chúng dùng phiên bản cũ – SSLv3 – trước khi dò nội dung mã hóa, thì với biến thể mới của nó, công việc của tin tặc trở nên nhẹ nhàng. Việc dò tìm bản rõ của cookies vẫn phải thực hiện qua nhiều vòng nhưng không cần bước “ép” máy khách dùng SSLv3 nữa.
Các thiết bị cân bằng tải và các thiết bị tương tự của hai nhà sản xuất F5 và A10 đã được phát hiện bị ảnh hưởng bởi lỗ hổng này. Mặc dù các phiên bản gần đây của TLS đòi hỏi kiểm tra kỹ quá trình padding (bổ sung thêm dữ liệu vào cuối của chuỗi cần mã hóa) để chống các kiểu tấn công Oracle nhưng các công ty thường bỏ qua bước này – đó là lý do chúng có thể bị tấn công.
Theo Ivan Ristic, Giám đốc nghiên cứu bảo mật ứng dụng của Qualys, khoảng 10% số website có thể bị tấn công bằng lỗ hổng mới này – tức là chúng có thể bị “người đứng giữa” nghe lén các thông điệp mã hóa.
