Poodle keert terug, nu in TLS-protocol
Webmasters die in oktober maatregelen hebben getroffen tegen een serieuze SSL-kwetsbaarheid, doen er verstandig aan dat nog een keer te doen. Onderzoekers hebben ontdekt dat de zwakke plek ook invloed heeft op implementaties van het nieuwere TLS-protocol.
Poodle (Padding Oracle On Downgraded Legacy Encryption), zoals de zwakke plek heet, stelt aanvallers in staat om het internetverkeer tussen een browser en een https-website af te luisteren. Hierdoor kunnen ze gevoelige informatie ontcijferen, zoals authenticatiecookies van de bezoeker.
[related_article id=”161920″]
Downgraden
In eerste instantie geloofden de onderzoekers dat dit alleen invloed had op SSL 3.0, een verouderd protocol dat overbodig gemaakt is door TLS 1.0, 1.1 en 1.2. Toch bracht het gebruikers in gevaar omdat veel browsers en servers SSL 3.0 nog ondersteunen om oudere systemen te laten werken. Hackers waren in staat de verbinding te dwingen te downgraden van TLS naar SSL om de kwetsbaarheid te misbruiken.
Veiligheidsonderzoekers hebben nu ontdekt dat het probleem zich ook voordoet bij sommige implementaties van TLS. Deze producten checken de structuur van TLS-pakketjes niet goed, waardoor ze de deur op een kier zetten voor mensen met kwade bedoelingen.
Cryptografische bibliotheek
Het probleem werd voor het eerst waargenomen in oude versies van Mozilla"s NSS (Network Security Services), de cryptografische bibliotheek die gebruikt wordt in Firefox en andere producten.
Google-veiligheidsengineer Adam Langley bouwde een scanner om ook andere producten te vinden met de zwakke plek. Daarbij kwam hij tot de ontdekking dat enkele grote websites kwetsbaar waren. Dat kwam doordat die sites loadbalancers gebruikte van F5 Networks en A10 Networks om de TLS-verbindingen te beheren.
“F5 heeft al patches klaar staan voor zijn producten en A10 komt daar op heel korte termijn mee”, schrijft Langley in een blogpost. “Ik ben er niet van overtuigd dat ik alle zwakke plekken heb gevonden, maar nu dat het probleem publiekelijk bekend is zal het niet lang duren voordat ook andere geraakte producten aan het licht komen.”
Tien procent
Volgens Ivan Ristic, verantwoordelijk voor SSL Labs bij veiligheidsbedrijf Qualys, is ongeveer tien procent van de servers die in de gaten gehouden worden door SSL Pulse-projecten kwetsbaar voor Poodle-aanvallen via TLS. Het SSL Pulse-project monitort de miljard meest bezochte https-websites volgens internetstatistiekbureau Alexa.
Webmasters die willen checken of hun servers kwetsbaar zijn kunnen de servertest van Qualys SSL Labs gebruiken. Deze is helemaal up-to-date gebracht om het probleem te detecteren. “Wanneer je een zwakke plek vindt, kun je die verhelpen door de patch toe te passen van je leverancier”, zegt Ristic. “Dit is een probleem dat je makkelijk kunt oplossen.”