Исследователи из INRIA, IMDEA и Microsoft обнаружили новый тип атаки на SSL/TLS, названный FREAK (Factoring attack on RSA-EXPORT Keys). Злоумышленник может вклиниться в соединение и инициировать ослабление шифрования между клиентом и сервером, что повышает его шансы расшифровать трафик.
Ноги уязвимости (идентификатор CVE-2015-0204) растут из середины XX века, когда в США были приняты ограничения экспорта стойких шифров за пределы страны (длина ключа для симметричного шифрования не могла превышать 56 бит, а для асимметричного - 512 бит). Большинство ограничений были сняты к 2000 году, но некоторые программные продукты до сих пор поддерживают специальный набор шифров RSA_EXPORT, в которых применяется 512-битный ключ RSA. Ключи такой длины давно считаются недостаточно стойкими.
Из-за недостаточной проверки TLS Handshake, злоумышленник может инициировать переключение на RSA_EXPORT (даже если клиент не заявлял о его поддержке), после чего остаётся лишь подобрать ключ RSA-512. На мощностях Amazon EC2 это можно сделать за 7-8 часов. Ключ будет действителен до перезапуска веб-сервера.
Уязвимости подвержены, как клиентские, так и серверные системы, а также разнообразное ПО. В их числе:
- OpenSSL (уязвимость исправлена в 0.9.8zd, 1.0.0p и 1.0.1k).
- устаревшие версии Chrome на Mac OS и Android (выпущено экстренное обновление).
- Internet Explorer на всех клиентских и серверных версиях Windows (доступен временный костыль).
- Dolphin, Opera и встроенный браузер на Android.
- Safari и Opera на OS X.
- Safari и Dolphin на iOS.
- Opera на Mac OS и Linux.
- Blackberry Browser.
Firefox проблеме не подвержен, поскольку не использует OpenSSL.
С серверной стороны RSA_EXPORT поддерживается на 36.7% от общего числа сайтов и на 9.7% из миллиона крупнейших сайтов. Создан сервис для проверки своего сайта на наличие уязвимости. Проблема несколько смягчается тем, что многие из вышеуказанных сайтов используют уникальные ключи для каждого клиента.
Источники и подробности:
