Tripwire漏洞挖掘研究小组的计算机安全研究员克雷格•杨(Craig Yang)称:“TLS 1.2存在漏洞的原因主要是由于其继续支持一种过时已久的加密方法:密码块链接(cipher block-chaining, CBC),该漏洞允许类似SSL POODLE的攻击行为。此外,该漏洞允许中间人攻击(简称:MITM攻击)用户的加密Web和VPN会话。”
受到漏洞影响的供应商之一是Citrix,它也是第一个发布该漏洞补丁的厂商(CVE-2019-6485)。Citrix方面称,该漏洞可能允许攻击者滥用Citrix的交付控制器(ADC)网络设备来解密TLS流量。
Citrix相关负责人称:“Citrix产品的安全性是至关重要的,我们非常重视所有潜在的漏洞。为了防止POODLE攻击事件的再次发生,我们已经应用了适当的补丁来缓解这个问题。此外,我们也建议客户采取必要的行动来保护他们正在使用的平台。”
Yang将这两个新漏洞命名为“Zombie POODLE”和“ GOLDENDOODLE(CVE)”。Citrix已经针对这两个漏洞对负载平衡器进行了修复,期间他们发现这些系统并没有完全抛弃过时的加密方法,这也是这次让该厂商陷入漏洞危机的最大原因之一。
Yang拒绝透露目前使用TLS 1.2协议的其他厂商,但他认为这些产品会获取Web应用程序防火墙、负载平衡器权限和远程访问SSL vpn,一旦遇到上述漏洞会造成十分严重的隐私泄露问题。
但是,Yang警告称GOLDENDOODLE具有更强大和快速的密码破解性能,即使供应商已经完全消除了最初的POODLE缺陷,它仍然可能受到此类攻击。因为这两个新的漏洞基于5年前在旧的SSL 3.0加密协议中发现并修补的一个主要设计缺陷。
根据Yang的在线扫描结果,在Alexa排名前100万的网站中,约有2000个网站易受Zombie POODLE的攻击,约1000个网站易受GOLDENDOODLE的攻击,还有数百个网站仍易受五年前就被曝出的旧漏洞POODLE的攻击。
“这个问题应该在四五年前就得到解决,”Yang称,一些供应商要么没有完全消除对老密码和不太安全的密码支持,要么没有完全修补POODLE攻击本身的缺陷。例如,Citrix并没有完全修补原来的POODLE攻击,这为下一代POODLE攻击留下了空间。
当然,核心问题是HTTPS的底层协议(首先是SSL,现在是TLS)没有正确地清除过时且不太安全的旧加密方法。对这些较旧协议的支持(主要是为了确保较旧的遗留浏览器和客户机不会被网站锁定)也会使网站变得脆弱。
雷锋网得知,Zombie POODLE和GOLDENDOODLE(CVE)漏洞允许攻击者重新排列加密的数据块,并通过一个侧边通道查看明文信息。
攻击是这样进行的:例如,攻击者通过植入用户访问的非加密网站上的代码,将恶意JavaScript注入受害者的浏览器。一旦浏览器被感染,攻击者可以执行MITM攻击,最终从安全的Web会话中获取受害者的cookie和凭证。