Что вы должны знать о POODLE
15.10.2014
Что вы должны знать о POODLE
Насколько опасен POODLE по сравнению с Heartbleed и Shellshock

Исследователи из компании Google обнаружили уязвимость в протоколе SSL, версии 3.0, названную POODLE (Padding Oracle On Downgraded Legacy Encryption). В отличие от других SSL уязвимостей, таких как BEAST и LUCKY 13, POODLE не имеет патча — сам протокол 3.0 уязвим. Соединения, использующие CBC шифры теперь ненадежны, это и позволяет злоумышленникам извлекать конфиденциальные данные из них.

По данным Google, их исследователи уязвимостей выявили, как злоумышленник может извлекать данные из зашифрованных соединений по протоколу SSL 3.0 с использованием CBC шифров. Они также описали, как может произойти реальная атака, в результате которой происходит кража куки сессии.

Суть заключается в том, что злоумышленники, имеющие доступ к средам клиента или сервера, манипулируют клиентами, чтобы они использовали небезопасные SSL 3 соединения. Затем они используют недостатки версии 3 для извлечения важных данных из потока.

Какие системы могут быть затронуты?

Любой клиент и сервер с поддержкой SSL 3.0.

Каковы последствия для безопасности?

Доступ к любым данным, передаваемым через зашифрованное соединение. В качестве примера, Google предлагает рассматривать клиентские куки. Но POODLE может потенциально привести к раскрытию и других личных данных адресов электронной почты, паролей, номеров кредитных карт и т.п., т.е. тех данных, для защиты которых и был разработан SSL.

Насколько опасен POODLE по сравнению с Heartbleed и Shellshock?

Хакерам, эксплуатирующим Heartbleed и Shellshock, для того, чтобы взломать систему, нужен только доступ через интернет к уязвимой среде. Достаточно просто отправить HTTP-запрос.

Shellshock имеет наибольшее воздействие, так как позволяет полностью скомпрометировать среду сервера. Heartbleed и POODLE, напротив, могут раскрыть только конфиденциальные данные. В случае с Heartbleed, эти данные относятся как к клиенту, так и к серверу (например, закрытые ключи). POODLE, в основном, раскрывает данные клиента, например, номер кредитной карты, указанный при покупке в интернет-магазине.

С точки зрения эксплуатации уязвимостей, POODLE гораздо менее серьезная угроза, чем Heartbleed и Shellshock. Это потому, что злоумышленнику необходим определенный уровень сетевого доступа к среде клиента или сервера для проведения атаки «человек посередине». Атака «человек посередине» является одной из форм активного подслушивания — атакующий совершает независимые соединения с жертвами и пересылает сообщения между ними. Это заставляет жертв считать, что они общаются непосредственно друг с другом по закрытому соединению. На самом деле, злоумышленник контролирует весь разговор.

Устранить POODLE из этих 3 уязвимостей сложней всего. Heartbleed и Shellshock требуют просто установки патча. Для POODLE – патча нет, необходимо полное удаление SSL 3.0. Последствия этого удаления окажутся незначительными для людей, использующих браузеры. Тем не менее, огромное количество API, скриптов и различные .Net и Java библиотеки используют SSL версии 3.0.

Данные, полученные из сети Incapsula показывают, что примерно 2% всего SSL трафика использует версию 3.0. Ее удаление означает, что все связанные клиенты не смогут подключаться к серверам.

Что делает Incapsula для устранения POODLE?

Incapsula использует двухэтапный подход, аналогичный подходу исследователей из Google.

Первым шагом является исключение установки POODLE у клиентов. Чтобы добиться этого, Incapsula удалила поддержку POODLE-уязвимых CBC шифров. Это изменение дало немедленный результат – клиенты сети Incapsula не подвержены уязвимости POODLE.

Во-вторых, Incapsula сейчас работает над тем, чтобы сделать два дополнительных изменения:

  1. Развертывание кода для предотвращения принуждения атакующим использовать SSL 3.0, когда клиенты поддерживают новые версии. Работа над внесением этого изменения уже идет. Однако это займет некоторое время, поскольку также включает в себя и изменения в поведении клиента.
  2. Реализация полного отказа от использования SSL версии 3.0. Это будет сделано аккуратно, чтобы данная мера не привела к отрицательному воздействию на бизнес клиентов. Incapsula будет анализировать сетевой трафик для всех клиентов и предоставлять пользовательский анализ, определяющий каков процент их трафика использует SSL 3.0.

Как устранить POODLE, если вы не являетесь клиентом Incapsula?

Если устранение касается только служб браузера, то, наверное, лучше отключить SSL 3.0. В противном случае, делайте как Incapsula — сразу отключайте слабые шифры и осуществите переход с SSL 3.0. на TLS.