TLS 1.2协议出现漏洞，近3000网站或受到攻击影响

2月12日，Citrix发现SSL 3.0协议的后续版本TLS 1.2协议存在漏洞，该漏洞允许攻击者滥用Citrix的交付控制器(ADC)网络设备来解密TLS流量。

Tripwire漏洞挖掘研究小组的计算机安全研究员克雷格•杨(Craig Yang)称：“TLS 1.2存在漏洞的原因主要是由于其继续支持一种过时已久的加密方法：密码块链接(cipher block-chaining, CBC)，该漏洞允许类似SSL POODLE的攻击行为。此外，该漏洞允许中间人攻击（简称：MITM攻击）用户的加密Web和VPN会话。”

受到漏洞影响的供应商之一是Citrix，它也是第一个发布该漏洞补丁的厂商(CVE-2019-6485)。Citrix方面称，该漏洞可能允许攻击者滥用Citrix的交付控制器(ADC)网络设备来解密TLS流量。

Citrix相关负责人称：“Citrix产品的安全性是至关重要的，我们非常重视所有潜在的漏洞。为了防止POODLE攻击事件的再次发生，我们已经应用了适当的补丁来缓解这个问题。此外，我们也建议客户采取必要的行动来保护他们正在使用的平台。”

Yang将这两个新漏洞命名为“Zombie POODLE”和“ GOLDENDOODLE（CVE）”。Citrix已经针对这两个漏洞对负载平衡器进行了修复，期间他们发现这些系统并没有完全抛弃过时的加密方法，这也是这次让该厂商陷入漏洞危机的最大原因之一。

Yang拒绝透露目前使用TLS 1.2协议的其他厂商，但他认为这些产品会获取Web应用程序防火墙、负载平衡器权限和远程访问SSL vpn，一旦遇到上述漏洞会造成十分严重的隐私泄露问题。

但是，Yang警告称GOLDENDOODLE具有更强大和快速的密码破解性能，即使供应商已经完全消除了最初的POODLE缺陷，它仍然可能受到此类攻击。因为这两个新的漏洞基于5年前在旧的SSL 3.0加密协议中发现并修补的一个主要设计缺陷。

根据Yang的在线扫描结果，在Alexa排名前100万的网站中，约有2000个网站易受Zombie POODLE的攻击，约1000个网站易受GOLDENDOODLE的攻击，还有数百个网站仍易受五年前就被曝出的旧漏洞POODLE的攻击。

“这个问题应该在四五年前就得到解决，”Yang称，一些供应商要么没有完全消除对老密码和不太安全的密码支持，要么没有完全修补POODLE攻击本身的缺陷。例如，Citrix并没有完全修补原来的POODLE攻击，这为下一代POODLE攻击留下了空间。

当然，核心问题是HTTPS的底层协议(首先是SSL，现在是TLS)没有正确地清除过时且不太安全的旧加密方法。对这些较旧协议的支持(主要是为了确保较旧的遗留浏览器和客户机不会被网站锁定)也会使网站变得脆弱。

宅客频道得知，Zombie POODLE和GOLDENDOODLE（CVE）漏洞允许攻击者重新排列加密的数据块，并通过一个侧边通道查看明文信息。

攻击是这样进行的：例如，攻击者通过植入用户访问的非加密网站上的代码，将恶意JavaScript注入受害者的浏览器。一旦浏览器被感染，攻击者可以执行MITM攻击，最终从安全的Web会话中获取受害者的cookie和凭证。

来源：darkreading

戳蓝字查看更多精彩内容 探索篇 ▼   暗网【上】|  暗网【下】 薅羊毛 | 黑客武器库| 威胁猎人 剁手赚钱 | 0Day攻击 | 暗黑女主播 踩雷 |嗑药坐牢重归正途 | 内鬼 脑内植入 真相篇 ▼ 拼多多将追回“薅羊毛”订单，包括已充话费和Q币订单 75条笑死人的知乎神回复，用60行代码就爬完了 不剁手也吃土？可能是挖矿木马掏空你的钱包 游戏黑产：我还在空中跳伞，就被人用拳头远程打死 都8012年了，英国卫生部门居然还在为“擦屁股” 与病毒名称相似，“捏脸”游戏ZEPETO涉嫌窃听？ 扎心！Tumblr推AI鉴黄计划夺老司机“珍爱” 我报了个税，隐私就被扒光了？ 黑客骗局：Ins网红落难记 人物篇 ▼ 专访：“蹲坑神器”与它背后男人们不得不说的故事 磨刀人王伟：我前期砸了两个亿做这套方案 白帽汇的赵武摘掉了他的“帽子”｜专访 数字联盟刘晶晶：四年只做一个产品 长亭科技陈宇森：我打破的四个质疑 薛锋：我眼中的威胁情报三年之变 “无锁不开”女黑客——skye 知道创宇赵伟：怼死“空气币” 李均：我眼中的黑客精神 风宁：自由追风者 更多精彩正在整理中……

---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域，讲述黑客背后的故事。

长按下图二维码并识别关注