當(dāng)前位置：安全 → 行業(yè)動(dòng)態(tài) → 正文

19年之久的ROBOT漏洞復(fù)現(xiàn) 流行網(wǎng)站受害

責(zé)任編輯：editor005 作者：nana |來(lái)源：企業(yè)網(wǎng)D1Net 2017-12-18 14:20:39 本文摘自：安全牛

如果你認(rèn)為比如Facebook和PayPal之類(lèi)，受到大眾追捧的流行網(wǎng)站就能免受上個(gè)世紀(jì)的漏洞侵害的話(huà)，你就太天真了！

研究顯示：1998年發(fā)現(xiàn)的一個(gè)漏洞最近死灰復(fù)燃，威脅多種流行網(wǎng)站和在線服務(wù)。該漏洞被命名為ROBOT，是丹尼爾·布雷琴巴赫于1998年發(fā)現(xiàn)的。

ROBOT是個(gè)首字母縮寫(xiě)，意思是布雷琴巴赫Oracle威脅重現(xiàn)(Return Of Bleichenbacher’s Oracle Threat)。新版ROBOT是在最近的Facebook漏洞獎(jiǎng)勵(lì)項(xiàng)目中被3名研究人員發(fā)現(xiàn)的。12月12日公布了新版ROBOT漏洞細(xì)節(jié)，但研究人員因此獲得的獎(jiǎng)金數(shù)額并未透露。

ROBOT存在于傳輸層安全(TLS)協(xié)議，影響所有主流網(wǎng)站——因?yàn)楣粽呖山饷軘?shù)據(jù)，并用網(wǎng)站的私鑰來(lái)簽名通信。TLS協(xié)議用于執(zhí)行Web加密，而該漏洞就存在于處理RSA加密密鑰的算法中。

攻擊使用專(zhuān)門(mén)構(gòu)造的查詢(xún)指令，以非“是”即“否”的應(yīng)答的形式，在TLS服務(wù)器上產(chǎn)生錯(cuò)誤。該技術(shù)被稱(chēng)為自適應(yīng)選擇密文攻擊。這些服務(wù)器通過(guò)解密HTTPS流量，負(fù)責(zé)保護(hù)用戶(hù)瀏覽器與網(wǎng)站之間的通信。如果攻擊成功，攻擊者可被動(dòng)監(jiān)視并記錄流量。利用該漏洞，中間人攻擊也是可以執(zhí)行的。

同樣的技術(shù)被用于利用1998年發(fā)現(xiàn)的ROBOT漏洞。原始ROBOT補(bǔ)丁并未替換該不安全RSA算法，但TLS標(biāo)準(zhǔn)經(jīng)過(guò)修改，已令暴力猜解變得困難了許多。

研究人員在其博客中寫(xiě)道：

布雷琴巴赫的原始攻擊出現(xiàn)之后，TLS的設(shè)計(jì)者們決定，最佳行動(dòng)方案就是保留該脆弱加密模式，但添加應(yīng)對(duì)措施。之后的研究表明這些應(yīng)對(duì)措施并不完善，于是TLS設(shè)計(jì)者們又添加了更多更復(fù)雜的應(yīng)對(duì)措施。最新的 TLS 1.2 標(biāo)準(zhǔn) (7.4.7.1) 中，有關(guān)布雷琴巴赫應(yīng)對(duì)措施的章節(jié)令人難以想象的復(fù)雜。毫無(wú)意外，這些變通方案并沒(méi)有被正確實(shí)現(xiàn)。

ROBOT補(bǔ)丁放出后，該漏洞有了幾個(gè)變種，比如2016年3月與之相關(guān)的另一個(gè)漏洞——暴露了約33%的HTTPS連接的DROWN漏洞。

研究人員稱(chēng)，無(wú)數(shù)供應(yīng)商沒(méi)能恰當(dāng)實(shí)現(xiàn)應(yīng)對(duì)措施，讓針對(duì)ROBOT漏洞利用的攻擊有機(jī)可乘。截至目前，有7家供應(yīng)商的實(shí)現(xiàn)被發(fā)現(xiàn)是脆弱的，包括F5、思科和Citrix。同時(shí)，研究人員還寫(xiě)道，一些非常流行的網(wǎng)站受到了影響，包括Facebook和PayPal。Alexa百大域名排行榜上的27個(gè)域名中，也發(fā)現(xiàn)了多個(gè)脆弱子域名。

在12日發(fā)布的建議中，思科將該漏洞評(píng)級(jí)為中等，并指出多款產(chǎn)品受到影響，例如思科ACE30應(yīng)用控制引擎模塊和 ACE 4710 應(yīng)用控制引擎設(shè)備。另一方面，PayPal和Facebook在2017年10月發(fā)布了補(bǔ)丁。

研究人員在博客中提供了多種臨時(shí)緩解解決方案，還提供了一個(gè)可在公共HTTPS服務(wù)器上實(shí)現(xiàn)的測(cè)試工具，以及用于測(cè)試該漏洞的Python工具：

https://github.com/robotattackorg/robot-detect

大多數(shù)現(xiàn)代TLS連接使用橢圓曲線密鑰交換體制(ECDH)，其中對(duì)RSA的使用僅限于簽名。我們認(rèn)為，RSA加密模式風(fēng)險(xiǎn)很高，唯一安全的動(dòng)作就是禁用之。除了風(fēng)險(xiǎn)性，這些模式還缺乏前向安全。