A FREAK lehet 2015 legdurvább sebezhetősége

Újabb súlyos biztonsági gyengeségre derült fény. A sebezhetőség rengeteg számítógépet, mobil eszközt és beágyazott rendszert tehet védtelenné a lehallgatásokkal és az egyéb internetes támadásokkal szemben.
 
hirdetés
Amikor a titkosított kommunikációs kapcsolatokban kulcsszerepet betöltő SSL/TLS protokollok, illetve az azokat támogató alkalmazások kapcsán biztonsági résre derül fény, akkor az általában komoly aggodalmat vált ki a szakmában. Ez persze nem csoda, hiszen az egy évvel ezelőtt feltárt - OpenSSL-ben kimutatott - Heartbleed sebezhetőség, valamint a szintén tavaly nagy hírverést kapott POODLE sérülékenység ékes bizonyítékát adta annak, hogy miként válhatnak egy csapásra weboldalak, eszközök millió teljesen kiszolgáltatottá a külső támadásokkal szemben.
 
A legújabb SSL/TLS sebezhetőség - hasonlóan az előbbiekben említett biztonsági résekhez - nem új keletű problémára vezethető vissza. Oly annyira nem, hogy a FREAK (Factoring RSA Export Keys) névre keresztelt sérülékenység története tulajdonképpen az 1990-es években kezdődött, amikor az amerikai export korlátozások miatt a fejlesztőknek gyengébb titkosítási eljárásokat is be kellett építeniük az alkalmazásaikba, legalábbis, ha azt akarták, hogy a szoftvereik bejárják a világot. Ekkor az SSL-be bekerült egy olyan üzemmód, amelynek révén 512 bites - akkor még viszonylag erősnek számító, de ma már kifejezetten gyenge - RSA kulcsokkal lehetett megvalósítani a kommunikáció védelmét. A FREAK erre az úgynevezett "export módra" épül, amely főként kompatibilitási okok miatt az elmúlt évtizedben sem került ki az SSL-implementációk többségéből.
 
Az újonnan kidolgozott támadási lehetőségről beszámoló kutatók tulajdonképpen arra jöttek rá, hogy egyes eszközök, szoftverek rávehetők arra, hogy ezt a gyenge titkosítási eljárást használják még akkor is, ha alapértelmezésként amúgy jóval biztonságosabb módon teremtenének kapcsolatot egymással. Ennél fogva az elkövetőknek jóval könnyebb a dolguk, amikor titkosított adatforgalmat akarnak lehallgatni vagy manipulálni.
 
A FREAK megjelenése óta egyre több olyan támadásról készült videó lát napvilágot, amelyek azt bizonyítják, hogy nemcsak az adatforgalom lehallgatására adhat módot a sebezhetőség. Egyes kutatók már igazolták, hogy például a Facebook JavaScript SDK-jának felhasználásával is lehet visszaéléseket elkövetni, és Cross-site scripting (XSS) típusú támadásokat végrehajtani.

 
Néhány óra, és kész a törés

Arra kérdésre, hogy mennyi időre lehet szükségük a támadóknak egy FREAK által lebutított tikosítás feltörésére, nem lehet konkrét számokkal válaszolni, mivel sok múlik azon, hogy mennyi erőforrást áldoznak a támadásra. Napjaink felhős világában azonban ez nem okoz nagy problémát. A kutatók kifejtették, hogy az Amazon EC2 bevetésével és 50 dollár fejében 12 óra alatt biztosan elvégezhető a törés. Ha azonban egy támadó 100 dollárt sem sajnál kiadni, akkor több EC2 kapacitással akár 7 óra alatt is eredményt érhet el. Ezt követően pedig szabaddá válik az út előtte, hogy közbeékelődéses (MITM - Man in The Middle) támadásokkal lehallgassa, vagy kompromittálja a kiszemelt szerver és a kliensek közötti adatáramlást.
 
A FREAK – hasonlóan, ahogy a Heartbleed és a POODLE is - meglehetősen széles körű problémákat vet fel. Az első felmérések szerint a legnépszerűbb weboldalak legalább 12 százaléka sebezhető. A biztonsági rés napvilágra kerülésekor sérülékenynek bizonyult egyebek mellett az americanexpress.com, a groupon.com, a bloomberg.com, a marriott.com, de még az IBM, a Symantec, sőt az NSA publikus webhelye is. Ugyancsak sebezhetők a Mac OS X alapú számítógépek, valamint az iOS-re és az Androidra épülő eszközök is. A Google már elkészítette a szükséges javításokat, amelyeket a gyártók - jó esetben - elkezdenek terjeszteni, míg az Apple legkésőbb a jövő hétre ígérte a megfelelő patch-ek kiadását. Nagyon fontos, hogy az OpenSSL korábbi verzióit is sújtja a FREAK, ezért minden OpenSSL-t használó szerver, illetve eszköz esetében indokolt a frissítés. Ezeken a "CVE-2015-0204" jelzésű biztonsági rést kell befoltozni az OpenSSL 1.0.1k, 1.0.0p vagy 0.9.8zd verzióira való váltással.
 
Védekezési tippek

A következő napokban, hetekben egészen biztosan sok olyan biztonsági frissítés fog elérhetővé válni, amelyek a FREAK kockázatait lesznek hivatottak csökkenteni. Ezért a szoftverek frissítésére most különösen érdemes lesz figyelni. Emellett a webszerverek és az egyéb kiszolgálók üzemeltetőinek célszerű felmérniük, hogy az export mód engedélyezett-e az általuk felügyelt rendszereken, majd szükség esetén be kell zárniuk a kiskapukat.
Vélemények
 
  1. 4

    Az OpenSSL komolyabb kockázatok felvető sebezhetőség miatt szorul frissítésre.

  2. 3

    A Windows egyik rendszerfájlja kapcsán egy sebezhetőségre derült fény.

  3. 3

    A Cisco Email/Web Security Appliance egy-egy biztonsági frissítést kapott.

 
Partnerhírek
​Flash Player frissítésnek álcázott androidos trójai

Az ESET szakemberei felfedeztek egy androidos eszközöket támadó veszélyes alkalmazást. Az Agent.JI trójai program feltört weboldalakon keresztül, Flash Player frissítésnek álcázva terjed.

Az ESET elnyerte a 100. Virus Bulletin díjat

Az ESET elnyerte a 100. Virus Bulletin díjat a NOD32 termékkel. Ennyi VB100-at egyetlen másik termék sem kapott még a minősítő szervezettől.

hirdetés
Közösség
1