新闻快讯
< >

ROBOT攻击:19年前的Bleichenbacher攻击回归

E安全12月23日讯 一组研究人员发现19年前的老旧加密攻击现新变体“ROBOT”,在特定条件下能获取加密私钥,从而解密敏感HTTPS流量。

何为ROBOT

ROBOT的全称为Return Of Bleichenbacher's Oracle Threat,即Bleichenbacher的 Oracle威胁回归,从字面意思可以看出这种攻击是Bleichenbacher攻击的变种。

ROBOT攻击:19年前的Bleichenbacher攻击回归-E安全

Bleichenbacher攻击原理

1998年,贝尔实验室(Bell Laboratories)的丹尼尔-布莱汀巴克尔在TLS服务器的操作机制中发现漏洞:当服务器所有者选择RSA算法加密服务器-客户端的密钥交换时,TLS服务器操作过程就会出现漏洞。

默认情况下,在客户端(浏览器)与服务器通过HTTPS开始通信之前,客户端将会选择将服务器公钥加密的随机会话密钥。这个被加密的会话密钥会被发送到服务器,服务器再使用私钥解密消息,并保存会话密钥副本,以便后续用来识别每个客户端。但由于RSA算法并不安全,它还使用填充系统在加密会话密钥的顶层添加额外的随机字节。

布莱汀巴克尔发现,如果会话密钥通过RSA算法加密,而填充系统为PKCS #1 1.5,攻击者可简单将随机会话密钥发送给TLS服务器,并询问是否有效,TLS服务器将会以简单的“是”或“否”给出回应。这意味着攻击者可通过简单的暴力破解攻击猜测这个会话密钥,并解密在TLS(HTTPS)服务器和客户端(浏览器)之间交换的所有HTTPS消息。

 TLS标准设计者并未替换不安全的RSA算法,而是决定添加应对策略,加大暴力猜密过程的难度。这种修复方案不足以应对不断演进的Bleichenbacher攻击,2003年、2012年、2014年、2015年和2016年不同的Bleichenbacher攻击新变体出现。2016年的变体为DROWN漏洞攻击,该攻击影响了三分之一的HTTPS站点。

最新的变体ROBOT攻击强势现身

ROBOT攻击也绕过了TLS开发人员1998年及之后部署的应对策略。研究人员表示,TLS标准相当复杂,许多服务器设备厂商未正确实现TLS标准第7.4.7.1节(RFC 5246)定义的原始Bleichenbacher攻击应对策略。

影响范围

研究人员指出,思科、Citrix、F5和Radware等公司在某些配置下——即服务器所有者决定通过RSA算法加密TLS会话密钥,并使用PKCS #1 1.5填充系统——易遭遇ROBOT攻击。

ROBOT攻击:19年前的Bleichenbacher攻击回归-E安全

研究人员表示,尽管是ROBOT老旧攻击的变种,但包括Facebook和PayPal等27个Alexa排名前100的站点易遭遇ROBOT攻击。而且研究人员在案例研究中加密了Facebook流量。其它排名靠后的站点也可能易遭受ROBOT攻击。

检测方法与应对措施

研究人员已经发布了一个Python脚本(https://github.com/robotattackorg/robot-detect),帮助服务器管理员扫描易受攻击的主机,并在ROBOT攻击网站首页添加了ROBOT漏洞检查程序(请戳!)。

补丁发布之前,研究人员和美国计算机应急响应小组(US-CERT)建议设备所有者禁用设备上的TLS会话密钥RSA加密(也就是所谓的RSA加密模式)。这种方法实现起来不是问题,因为大多数设备还支持Elliptic Curve Diffie Hellman(ECDH)会话密钥加密。

使用思科ACE产品的用户应注意

思科表示,受影响的思科ACE产品线几年前已停产,因此不会提供更新。然而目前仍有大量易受攻击的主机仍在使用这些设备,因为这些设备不支持任何其它密码套件,禁用RSA也无济于事。

ROBOT与DROWN漏洞攻击的影响力相当,因为攻击者能记录 HTTPS,并解密流量。另外值得注意的是:攻击者通过 ROBOT攻击获取的并非TLS 服务器私钥,而是每个客户端连接的个人会话密钥。这就意味着,攻击者无法访问通用解密密钥,而只是访问某个 HTTPS 会话的一次性密钥。要解密大量 HTTPS 流量,ROBOT 攻击也要投入大量计算能力。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。