Недавнее сканирование сайтов из топ 100 по посещаемости выявило что 27 из них, включая Facebook и PayPal cодержали уязвимость, очень похожую на обнаруженную в 1998 году исследователем Даниэлем Блейхенбахером (Daniel Bleichenbacher) в SSL. Ошибка в алгоритме управляющем ключами RSA позволяла с помощью определенных запросов расшифровать данные, не имея ключа шифрования. Уязвимость в алгоритме не исправили, а внедрили некие обходные пути, которые закрыли уязвимость.
Спустя 19 лет исследователи вновь применили подобную атаку и выявили что около 2,8% сайтов из первого миллиона уязвимы. Так же уязвимыми оказались программные продукты многих производителей и некоторые проекты с открытым исходным кодом. Список можно посмотреть в этой статье: VERT Threat Alert: Return of Bleichenbacher’s Oracle Threat (ROBOT).
Новая уязвимость была названа ROBOT — сокращение от «Return Of Bleichenbacher's Oracle Threat».
Из-за сложности использования (атакующему необходимо осуществить тысячи подключений к уязвимому сайту) уязвимость менее опасна чем знаменитый Heartbleed, но все же требует немедленного внимания. Рекомендуется проверить свои сайты с помощью инструмента The ROBOT Check и обновить программное обеспечение. А в долгосрочной перспективе отказаться от использования ключей RSA и начать использовать схемы Elliptic-Curve Diffie-Hellman.
По мотивам статьи: 1998 attack that messes with sites’ secret crypto keys is back in a big way
Автор: xl-tech