Lỗ hổng POODLE lại xuất hiện ở dạng nguy hiểm hơn

10:26 | 15/12/2014 | LỖ HỔNG ATTT

Một số website của những tổ chức lớn như Bank of America, VMware, Bộ Cựu chiến binh Hoa Kỳ… được xác định là có thể bị tấn công qua một biến thể của lỗ hổng có tên Padding Oracle On Downgraded Legacy Encryption - POODLE.

Lỗ hổng này được phát hiện cách đây hai tháng, cho phép những tin tặc đang nắm quyền giám sát các kết nối Wi-Fi (hay các kết nối khác) không bảo mật, có thể giải mã các kết nối HTTPS dùng giao thức SSL phiên bản 3. Các nhà phát triển trình duyệt nhanh chóng giải quyết vấn đề bằng cách loại bỏ việc sử dụng SSLv3.

Tuy nhiên, đến đầu tháng 12/2014 thì một biến thể của lỗ hổng đó lại xuất hiện và có thể phát huy tác dụng với các phiên bản mới của giao thức: nó có thể dùng để tấn công cả TLS 1.2. Danh sách các website “yếu kém” nêu ở đầu bài viết này là do một dịch vụ kiểm tra miến phí - SSL Server Test () - của công ty bảo mật Qualys phát hiện.

Lỗ hổng POODLE lại xuất hiện ở dạng nguy hiểm hơn

Nếu POODLE đòi hỏi tin tặc phải thực hiện khá nhiều công đoạn phức tạp, trong đó điều bắt buộc là giả các gói tin trao đổi giữa máy chủ và máy khách để buộc chúng dùng phiên bản cũ – SSLv3 – trước khi dò nội dung mã hóa, thì với biến thể mới của nó, công việc của tin tặc trở nên nhẹ nhàng. Việc dò tìm bản rõ của cookies vẫn phải thực hiện qua nhiều vòng nhưng không cần bước “ép” máy khách dùng SSLv3 nữa.

Các thiết bị cân bằng tải và các thiết bị tương tự của hai nhà sản xuất F5 và A10 đã được phát hiện bị ảnh hưởng bởi lỗ hổng này. Mặc dù các phiên bản gần đây của TLS đòi hỏi kiểm tra kỹ quá trình padding (bổ sung thêm dữ liệu vào cuối của chuỗi cần mã hóa) để chống các kiểu tấn công Oracle nhưng các công ty thường bỏ qua bước này – đó là lý do chúng có thể bị tấn công.

Theo Ivan Ristic, Giám đốc nghiên cứu bảo mật ứng dụng của Qualys, khoảng 10% số website có thể bị tấn công bằng lỗ hổng mới này – tức là chúng có thể bị “người đứng giữa” nghe lén các thông điệp mã hóa.

‹ › ×

Tin liên quan

Qúa trình hình thành các Tiêu chuẩn An toàn thông tin

10:53 | 04/10/2013

Tạp chí An toàn thông tin đã giới thiệu phần I của bài viết “Quá trình hình thành các Tiêu chuẩn an toàn thông tin. Trong phần 2 này, phần tiếp theo sẽ giới thiệu nội dung về “Các tiêu chuẩn đánh giá và các tiêu chuẩn đặc tả kỹ thuật sản phẩm ATTT”.

Tin cùng chuyên mục

Cảnh báo 03 lỗ hổng zero-day nguy hiểm của Ivanti CSA đang bị tin tặc khai thác

07:00 | 23/10/2024

Ivanti đã đưa ra cảnh báo rằng 03 lỗ hổng bảo mật mới ảnh hưởng đến Thiết bị dịch vụ đám mây (Cloud Service Appliance - CSA) của công ty đang bị tin tặc khai thác một cách tích cực.

Công ty cung cấp dịch vụ chuyển tiền và thanh toán quốc tế MoneyGram bị tấn công mạng

10:00 | 01/10/2024

MoneyGram, công ty cung cấp dịch vụ chuyển tiền lớn thứ hai thế giới đã xác nhận bị tấn công mạng sau nhiều ngày người dùng gặp sự cố và phàn nàn về dịch vụ. Sự cố bắt đầu từ ngày 20/9 khiến người dùng không thể nhận tiền hay xử lý giao dịch, website cũng không thể truy cập.

Hàn Quốc điều tra vai trò của Telegram trong việc lan truyền nội dung deepfake

07:00 | 16/09/2024

Trước những cáo buộc liên quan đến việc hỗ trợ tội phạm tình dục bằng công nghệ deepfake, ứng dụng nhắn tin Telegram đang bị nhà chức trách Hàn Quốc tiến hành điều tra sơ bộ để làm rõ trách nhiệm.

Chiến dịch đánh cắp mã OTP ảnh hưởng tới người dùng 113 quốc gia

14:00 | 05/08/2024

Các chuyên gia bảo mật vừa phát hiện chiến dịch độc hại nhằm vào thiết bị Android toàn cầu, sử dụng hàng nghìn bot Telegram để lây nhiễm mã độc đánh cắp mã OTP của người dùng tại 113 quốc gia.