DetailController

CNTT và Viễn Thông

Lỗ hổng mới trên giao thức SSL - POODLE SSL 3.0

17/10/2014 00:00
Công ty cổ phần An ninh An toàn Thông tin CMC vừa đưa ra lời cảnh báo về lỗ hổng mới trên giao thức SSL - Poodle SSL 3.0

Poodle SSL 3.0 là lỗ hổng bảo mật trong giao thức mã hóa web SSL 3.0, cho phép tin tặc tặc có thể đánh cắp "cookies" duyệt web, từ đó kiểm soát các tài khoản thư điện tử, mạng xã hội và tài khoản ngân hàng.

POODLE là tên gọi tắt của “Padding Oracle Downgraded Legacy Encryption”. Lỗ hổng này cho phép thực hiện tấn công man-in-the-middle để giải mã các nội dung  đã được mã hóa. Phương pháp giải mã sử dụng kết hợp kỹ thuật tấn công "padding oracle attack" và kỹ thuật tấn công "side-channel attack"

Lỗ hổng này được nhóm 3 chuyên gia bảo mật của Google phát hiện vào ngày 14/10/2014. Các chuyên gia cho biết lỗ hổng này đã tồn tại trên SSL 18 năm.

Poodle ảnh hưởng đến tiêu chuẩn cũ của mã hóa, đặc biệt là Secure Socket Layer (SSL) phiên bản 3.0. Nó không ảnh hưởng đến cơ chế mã hóa mới là Transport Layer Security (TLS). Đây là một lỗ hổng liên quan đến việc sử dụng giao thức. Do vậy, những máy chủ có sử dụng các tiêu chuẩn mã hóa SSLv3.0 đều có nguy cơ bị dịnh lỗ hổng này, kẻ tấn công có thể lấy được các thông tin giao dịch ngân hàng, tài khoản, mật khẩu, session id, cookie …

Trong quá trình làm việc với một máy chủ, nhiều máy trạm TLS triển khai một quá trình hạ cấp: trong cố gắng bắt tay đầu tiên, máy trạm yêu cầu hỗ trợ giao thức kết nối phiên bản cao nhất, nếu quá trình bắt tay này thất bại, máy trạm sẽ yêu cầu hỗ trợ giao thức kết nối phiên bản thấp hơn. Quá trình hạ cấp này có thể bị tác động bởi sự ổn định của mạng, hoặc bởi tác nhân tấn công bên ngoài. Thực hiện tấn công để hạ cấp phiên bản hỗ trợ của TLS còn được gọi là “Downgrade attack”.

Do đó, kẻ tấn công có thể thực hiện Downgrade attacks để bắt buộc giao tiếp giữa máy trạm và máy chủ cung cấp dịch vụ sử dụng SSLv3.0 thay vì TLS. Sau đó, kẻ tấn công có thể đứng giữa kết nối đã được mã hóa của máy trạm và máy chủ, chặn bắt và giải mã các thông tin đó sử dụng kỹ thuật tấn công "padding oracle attack" . Để thực hiện điều đó, kẻ tấn công sẽ phải thực thi được một đoạn mã độc bằng javascript trên website mà nạn nhân đang ghé qua. Sau đó, kẻ tấn công có thể lắng nghe và thay đổi các bản ghi SSL được gửi từ trình duyệt của nạn nhân. Nếu các bản ghi SSL có thể thay đổi được, kẻ tấn công sẽ tiền hành giải mã byte-to-byte dữ liệu đã được mã hóa.

Mặc dù  Poodle SSL 3.0 được đánh giá là không gây các ảnh hưởng nghiêm trọng như Heartbleed và Shell-shock, các chuyên gia cũng khuyên các cơ quan/doanh nghiệp nên ngừng sử dụng SSLv3.0 trên các máy trạm và máy chủ, thay vào đó là sử dụng TLS. Nếu việc không sử dụng SSLv3 là gây khó khăn trong công việc, phải chắc chắn rằng có triển khai TLS_FALLBACK_SCSV.

Nếu  muốn kiểm tra xem liệu máy chủ có khả năng bị khai thác bởi Poodle hay không, người dùng có thể đăng ký sử dụng tool  SSLv3 (POODLE) Detector được cung cấp bởi Redhat

Trong trường hợp phát hiện hệ thống có khả năng bị ảnh hưởng/ bị khai thác bởi lỗ hổng này, cơ quan/ doanh nghiệp nên liên hệ ngay với các cơ quan chức năng và các chuyên gia để có được sự trợ giúp kịp thời.