神刀安全网

一些受VISA HTTPS保护的站点因为漏洞容易受到Forbidden攻击

一些受VISA HTTPS保护的站点因为漏洞容易受到Forbidden攻击,有将近70,000台服务器处于危险之中。

一种被称为“Forbidden攻击”的新攻击技术揭露许多HTTPS签证网站容易受到网络攻击,大约70,000台服务器处于危险之中。一群国际研究人员(Hanno Böck, Aaron Zauner, Sean Devlin, Juraj Somorovsky, and Philipp Jovanovic)发现该威胁动作可以向访问者的浏览器中注入恶意代码和伪造内容。

该组织已经发表了一篇题为“Nonce-Disrespecting对手:在TLS中对GCM的实用的伪造攻击”的文章。

专家已经发现有184台服务器受到了攻击,其中的一些属于德国证交所德意志交易所和波兰银行业协会Zwizek Bankow Polskich。

这种攻击利用并不新鲜,事实上这种攻击利用已经有至少十年的时间了,但很显然,它已经被遗忘了。Forbidden攻击的漏洞利用证据是十分确凿的,研究人员还现场演示了如何利用它来攻击加密通信。

包括德意志交易所的一些组织已经解决了这个问题, 但是Visa和Zwizek Bankow Polskich仍然是易受攻击的。

该漏洞是由TLS协议中在数据加密时重用相同的随机数引起的。nonce重用为Forbidden攻击打开了大门,黑客可以利用它来生成用于对网站内容进行身份验证的关键材料。

使用相同的nonce使得当浏览器第一次连接到一个HTTPS保护的站点时,威胁活动可以很容易地通过与攻击者共享的传输通道注入伪造的内容 (比如,在一个未加密的无线网络中,攻击者在同一个局域网段)。

此时,篡改的传输不会触发任何可疑行为来提醒受害者。

研究人员在他们发表的论文中这样写道:“在他给NIST Joux[18]的评论中描述了一个由于nonce重用而针对GCM的攻击。这种攻击允许攻击者学习认证密钥和伪造信息。因为nonce的唯一性是典型的密码分析的基本原则,所以Joux称他的攻击为“Forbidden攻击”。不过,它强调了一个在实际实现时重要的失效模式。只要这个nonce被重用了一次并且被我们用来实施了一个针对HTTPS的实用的伪造攻击,这将带来严重的真实性的失效问题。”

黑客可以运行一个Forbidden攻击来篡改通讯和添加恶意的JavaScript代码或添加用于欺诈活动的Web内容。

研究人员在线发布的一个概念验证利用代码显示了攻击的可行性,他们还发布了一个攻击脆弱的Visa网站的视频(https://youtu.be/qByIrRigmyo)。

一些受VISA HTTPS保护的站点因为漏洞容易受到Forbidden攻击

专家们注意到,通过给予足够的web请求,那些易受攻击的网站会有很高的概率重用nonce,他们估计,对于一个成功的攻击来说需要的请求数量仍然极高。

论文中的一个表格显示,其中包括nonce碰撞的概率在目前的64位大小上是2n。专家们发现,大约230个请求时的概率是3%,235个请求时可以有100%的几率。

一些受VISA HTTPS保护的站点因为漏洞容易受到Forbidden攻击

研究人员进行的这项研究被分成多个子任务,最初他们扫描网络寻找目标,然后他们试图找到易受攻击的那些。

“我们针对网络连接设备的评估一直被分成多个子任务。最初是发现扫描,紧接着漏洞扫描发现目标设备上使用不同参数的时间跨度约为18天。在本节中,我们描述了在我们的评估中用于发现和分析网络连接设备的方法。”这篇论文中写道。

在被研究人员发现的这70000个网站中,专家们发现了几个有缺陷的TLS实现,其中一个在IBM的Domino Web服务器上,另一个在Radware的负载平衡器上,这两个目前都已经被修复了。

本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。

原文链接:http://securityaffairs.co/wordpress/47724/breaking-news/forbidden-attack.html

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 一些受VISA HTTPS保护的站点因为漏洞容易受到Forbidden攻击

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址