Poodle, еще одна уязвимость в SSL

Компании Qrator Labs, специализирующаяся на противодействии DDoS-атакам, и Wallarm, разработчик решения для защиты Web-приложений от хакерских атак, сообщили о возможностях новой угрозы, связанной с критической уязвимостью Poodle. Эта уязвимость позволяет злоумышленникам считывать пользовательские данные, передаваемые с использованием протокола SSL 3.0.

Используя Poodle, хакеры, перехватывающие трафик, могут расшифровывать запросы пользователей и получать доступ к конфиденциальной информации, например, к паролям, данным запроса, файлам Cookies, в которых содержатся личные данные, и пр. Критическая уязвимость (CVE-2014-3566) была обнаружена не в отдельной реализации SSL 3.0, а в самой спецификации протокола. Уязвимы все реализации SSL 3.0 – от свободной OpenSSL до коммерческих библиотек, поставляемых по умолчанию с распространенными ОС. Даже если сервер использует протокол TLS наряду с SSL 3.0, он все равно остается уязвимым, поскольку атакующий может определенным образом спровоцировать принудительное применение SSL 3.0.

Опасность для пользователей состоит в раскрытии конфиденциальных данных, поскольку злоумышленник может получить доступ к их аккаунтам на сервере, поддерживающем протокол шифрования SSL 3.0. Авторизация в протоколе HTTP основана на передаче секретных токенов от пользователя к серверу. Злоумышленник, контролирующий промежуточный трафик (например, точку доступа Wi-Fi), используя уязвимость Poodle, может частично расшифровывать SSL3-трафик, получая доступ к авторизационным данным.

Более совершенный стандарт TLS не подвержен этой уязвимости, поэтому системным администраторам и пользователям рекомендуется отключить поддержку SSL 3.0, если они хотят сохранить приватность данных. Все современные ОС также поддерживают TLS. Как отмечают в Qrator Labs, при отключении SSLv3 ее специалисты не зарегистрировали проблем с доступностью у легитимных пользователей. Поэтому компания прекращает поддержку SSLv3 по умолчанию, оставляя только современные безопасные протоколы TLS.