Qrator Labs, специализирующаяся на противодействии DDoS-атакам, и Wallarm, разработчик решения для защиты веб-приложений от хакерских атак, сообщили о возникновении новой угрозы, связанной с обнаружением критической уязвимости Poodle, которая позволяет злоумышленникам считывать пользовательские данные, передаваемые с использованием протокола SSL 3.0.
Уязвимость Poodle дает возможность хакерам, перехватывая трафик, расшифровывать запросы пользователей и получать доступ к конфиденциальной информации, например, к паролям, данным запроса, файлам Cookies, в которых содержатся личные данные клиентов, и пр. Критическая уязвимость (CVE-2014-3566) была обнаружена не в отдельной реализации SSL 3.0, а в самой спецификации протокола. Уязвимыми являются все реализации SSL 3.0, от свободной OpenSSL до коммерческих библиотек, поставляемых по умолчанию с распространёнными операционными системами.
Даже в случае, если сервер использует протокол TLS наряду с SSL 3.0, он всё равно остаётся уязвимым, поскольку атакующий может определённым образом спровоцировать принудительное применение SSL 3.0.
Опасность для пользователей состоит в раскрытии конфиденциальных данных, поскольку злоумышленник может получить доступ к их аккаунтам на сервере, поддерживающем протокол шифрования SSL 3.0. Авторизация в протоколе HTTP основана на передаче секретных токенов от пользователя к серверу. Злоумышленник, контролирующий промежуточный трафик (например, точку доступа WiFi), используя уязвимость Poodle, может частично расшифровывать SSL3-трафик, получая доступ к авторизационным данным.
«В очередной раз мы видим, что ошибки бывают не только в реализациях протоколов шифрования, но и в их спецификациях, даже написанных лучшими в мире специалистами. К этому всегда нужно быть готовым и своевременно реагировать на возникающие угрозы. Мы опробовали отключение SSLv3 и не зарегистрировали проблем с доступностью у легитимных пользователей. С завтрашнего дня мы прекращаем поддержку SSLv3 по умолчанию, оставляя только современные безопасные протоколы TLS», — прокомментировал Александр Лямин, руководитель Qrator Labs.
Более совершенный стандарт TLS не подвержен этой уязвимости, поэтому системным администраторам и конечным пользователям рекомендуется отключить поддержку SSL 3.0, поскольку, не сделав этого, невозможно сохранить приватность данных. Все современные операционные системы также поддерживают TLS, поэтому отключение SSL 3.0 не повлечёт за собой существенных проблем в работе.
«Уязвимость Poodle открывает для злоумышленника еще одну возможность расшифровать данные, которые передаются между сервером и клиентом по SSL. Это, безусловно, серьезная уязвимость, но она не идет ни в какое сравнения по опасности с нашумевшим Heartbleed, когда брешь позволяла читать оперативную память с удаленного сервера», — отметил Иван Новиков, генеральный директор Wallarm.