Μια νέα παραλλαγή του POODLE bug παρακάμπτει την κρυπτογράφηση TLS και επηρεάζει το 10% των δικτυακών τόπων.

Μερικές από τις παγκοσμίως κορυφαίες ιστοσελίδες, συμπεριλαμβανομένων και εκείνων που ανήκουν ή ελέγχονται από την Τράπεζα της Αμερικής (Bank of America), τη VMware, το Aμερικανικό Υπουργείο Υποθέσεων Βετεράνων (US Department of Veteran’s Affairs) και την εταιρεία παροχής επιχειρηματικών συμβουλών Accenture, είναι ευάλωτες σε απλές επιθέσεις που παρακάμπτουν το transport layer security encryption.

Οι επιθέσεις είναι μια παραλλαγή των λεγόμενων POODLE exploits, τα οποία αποκαλύφθηκαν πριν από δύο μήνες σε επιθέσεις κατά του πρωτοκόλλου SSL, ένα πρωτόκολλο κρυπτογράφησης που είναι παρόμοιο με TLS. Το όνομα POODLE είναι ακρωνύμιο του “Padding Oracle On Downgraded Legacy Encryption” και μπορεί να επιτρέψει στους επιτιθέμενους να παρακολουθούν Wi-Fi hotspots και άλλες επισφαλείς συνδέσεις Internet και να αποκρυπτογραφήσουν το HTTPS traffic που είναι κρυπτογραφημένο με την αρχαία έκδοση SSL3. Οι δημιουργοί των browsers ανταποκρίθηκαν γρήγορα με τον περιορισμό ή την εξάλειψη της χρήσης του SSLv3, μια κίνηση που φαίνεται ότι απέτρεψε την ευρεία εκμετάλλευση των bugs.

Τη Δευτέρα, κυκλοφόρησε είδηση ότι υπάρχει μια παραλλαγή της επίθεσης POODLE που λειτουργεί κατά των ευρέως χρησιμοποιούμενων εφαρμογών του TLS.

Το SSL Server Test, μια δωρεάν υπηρεσία που παρέχεται από την εταιρεία ασφαλείας Qualys, έδειξε ότι ορισμένα από τα κορυφαία sites είναι ευαίσθητα στην επίθεση ενώ η λίστα περιλαμβάνει και πάλι τη Bank of America, τη VMware, το Aμερικανικό Υπουργείο Υποθέσεων Βετεράνων και την Accenture. Η ευπάθεια ήταν αρκετά σοβαρή και φαίνεται ότι οι ιστοσελίδες αυτές μπορούν να επηρεαστούν από την επίθεση, όπως έδειξε και η υπηρεσία της Qualys.

Ένας εκπρόσωπος της Accenture, δήλωσε ότι η ιστοσελίδα accenture.com, δεν παρέχει περιεχόμενο, αλλά ανακατευθύνει όλο το traffic του δικτύου της στο www.accenture.com, το οποίο η Qualys δείχνει ότι δεν είναι ευάλωτο σε επιθέσεις τύπου POODLE.


Πηγή: SecNews

Ακολουθήστε το Flash.gr στο Google News και μάθετε πρώτοι τις ειδήσεις