Lỗ hổng POODLE lại xuất hiện ở dạng nguy hiểm hơn

10:26 | 15/12/2014 | LỖ HỔNG ATTT

Một số website của những tổ chức lớn như Bank of America, VMware, Bộ Cựu chiến binh Hoa Kỳ… được xác định là có thể bị tấn công qua một biến thể của lỗ hổng có tên Padding Oracle On Downgraded Legacy Encryption - POODLE.

Lỗ hổng này được phát hiện cách đây hai tháng, cho phép những tin tặc đang nắm quyền giám sát các kết nối Wi-Fi (hay các kết nối khác) không bảo mật, có thể giải mã các kết nối HTTPS dùng giao thức SSL phiên bản 3. Các nhà phát triển trình duyệt nhanh chóng giải quyết vấn đề bằng cách loại bỏ việc sử dụng SSLv3.

Tuy nhiên, đến đầu tháng 12/2014 thì một biến thể của lỗ hổng đó lại xuất hiện và có thể phát huy tác dụng với các phiên bản mới của giao thức: nó có thể dùng để tấn công cả TLS 1.2. Danh sách các website “yếu kém” nêu ở đầu bài viết này là do một dịch vụ kiểm tra miến phí - SSL Server Test (https://www.ssllabs.com/ssltest/) - của công ty bảo mật Qualys phát hiện.

Lỗ hổng POODLE lại xuất hiện ở dạng nguy hiểm hơn

Nếu POODLE đòi hỏi tin tặc phải thực hiện khá nhiều công đoạn phức tạp, trong đó điều bắt buộc là giả các gói tin trao đổi giữa máy chủ và máy khách để buộc chúng dùng phiên bản cũ – SSLv3 – trước khi dò nội dung mã hóa, thì với biến thể mới của nó, công việc của tin tặc trở nên nhẹ nhàng. Việc dò tìm bản rõ của cookies vẫn phải thực hiện qua nhiều vòng nhưng không cần bước “ép” máy khách dùng SSLv3 nữa.

Các thiết bị cân bằng tải và các thiết bị tương tự của hai nhà sản xuất F5 và A10 đã được phát hiện bị ảnh hưởng bởi lỗ hổng này. Mặc dù các phiên bản gần đây của TLS đòi hỏi kiểm tra kỹ quá trình padding (bổ sung thêm dữ liệu vào cuối của chuỗi cần mã hóa) để chống các kiểu tấn công Oracle nhưng các công ty thường bỏ qua bước này – đó là lý do chúng có thể bị tấn công.

Theo Ivan Ristic, Giám đốc nghiên cứu bảo mật ứng dụng của Qualys, khoảng 10% số website có thể bị tấn công bằng lỗ hổng mới này – tức là chúng có thể bị “người đứng giữa” nghe lén các thông điệp mã hóa.

‹ › ×

Tin liên quan

Qúa trình hình thành các Tiêu chuẩn An toàn thông tin

10:53 | 04/10/2013

Tạp chí An toàn thông tin đã giới thiệu phần I của bài viết “Quá trình hình thành các Tiêu chuẩn an toàn thông tin. Trong phần 2 này, phần tiếp theo sẽ giới thiệu nội dung về “Các tiêu chuẩn đánh giá và các tiêu chuẩn đặc tả kỹ thuật sản phẩm ATTT”.

Tin cùng chuyên mục

Google Chrome phát hành bản vá để khắc phục lỗ hổng zero-day

15:00 | 19/01/2024

Ngày 16/1, Google đã phát hành bản cập nhật để khắc phục bốn vấn đề bảo mật trong trình duyệt Chrome, trong đó có một lỗ hổng zero-day đã bị khai thác tích cực trong thực tế.

Khóa mặc định không an toàn của Apache Superset gây ảnh hưởng hàng nghìn hệ thống

16:00 | 12/05/2023

Cho đến đầu năm nay, ứng dụng phần mềm mã nguồn mở Apache Superset vẫn xuất xưởng với cấu hình mặc định không an toàn mà kẻ xấu có thể khai thác để đăng nhập và chiếm lấy ứng dụng trực quan hóa dữ liệu, đánh cắp dữ liệu và thực thi mã độc.

Phát hiện lỗ hổng trong phần mềm cPanel ảnh hưởng hàng nghìn tổ chức tại Việt Nam

12:00 | 08/05/2023

Cuối tháng 4 vừa qua, các chuyên gia Bkav cảnh báo lỗ hổng nghiêm trọng tồn tại trong phần mềm quản trị website cPanel, đe dọa đến hàng triệu website trên toàn cầu, trong đó có Việt Nam.

Lỗ hổng trong iOS và macOS cho phép các ứng dụng nghe lén cuộc trò chuyện với Siri

15:00 | 14/11/2022

Một lỗ hổng trong hệ điều hành iOS và macOS của Apple có tên SiriSpy (CVE-2022-32946) có thể đã cho phép các ứng dụng có quyền truy cập Bluetooth nghe trộm các cuộc trò chuyện của người dùng với Siri. Lỗ hổng này được phát hiện bởi nhà phát triển ứng dụng Guilherme Rambo.