Уязвимость из 1998 года снова в строю – встречайте ROBOT

    Недавнее сканирование сайтов из топ 100 по посещаемости выявило что 27 из них, включая Facebook и PayPal cодержали уязвимость, очень похожую на обнаруженную в 1998 году исследователем Даниэлем Блейхенбахером (Daniel Bleichenbacher) в SSL. Ошибка в алгоритме управляющем ключами RSA позволяла с помощью определенных запросов расшифровать данные, не имея ключа шифрования. Уязвимость в алгоритме не исправили, а внедрили некие обходные пути, которые закрыли уязвимость.

    Спустя 19 лет исследователи вновь применили подобную атаку и выявили что около 2,8% сайтов из первого миллиона уязвимы. Так же уязвимыми оказались программные продукты многих производителей и некоторые проекты с открытым исходным кодом. Список можно посмотреть в этой статье: VERT Threat Alert: Return of Bleichenbacher’s Oracle Threat (ROBOT).
    Новая уязвимость была названа ROBOT — сокращение от «Return Of Bleichenbacher's Oracle Threat».

    Из-за сложности использования (атакующему необходимо осуществить тысячи подключений к уязвимому сайту) уязвимость менее опасна чем знаменитый Heartbleed, но все же требует немедленного внимания. Рекомендуется проверить свои сайты с помощью инструмента The ROBOT Check и обновить программное обеспечение. А в долгосрочной перспективе отказаться от использования ключей RSA и начать использовать схемы Elliptic-Curve Diffie-Hellman.

    По мотивам статьи: 1998 attack that messes with sites’ secret crypto keys is back in a big way
    Поделиться публикацией
    Похожие публикации
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 4
    • 0
      Как мило, сайт, который должен бы проверять корректность используемого SSL, использует невалидный SSL :)

      NET::ERR_CERT_AUTHORITY_INVALID
      • 0
        Вроде вполне валидный сертификат Let's Encrypt у них, может у вас что-то подменяет? Антивирус или DLP/прокси корпоративный.
        • 0
          Подтверждаю, все нормально с сертификатом у них.
          • 0
            Спасибо, попробовал через 3ж с телефона, прошло. Таки DLP корпоративный.

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Интересные публикации