FREAK man in the middle fenyegetés

CH azonosító

CH-12043

Angol cím

Tracking the FREAK Attack

Felfedezés dátuma

2015.03.02.

Súlyosság

Közepes

Érintett rendszerek

Android
Apple
BlackBerry
Google
Microsoft
OpenSSL
OpenSSL Software Foundation
Safari
Windows
iPhone OS (iOS)

Érintett verziók

OpenSSL < 0.9.8zd, < 1.0.0p, < 1.0.1k BlackBerry OS 10.x BlackBerry OS 7.x

Összefoglaló

Egy SSL/TLS biztonsági rés látott nap világot, amit FREAK támádasnak neveztek el. A sérülékenység lehetővé teszi a támadóknak, hogy a HTTPS kapcsolatokat a kiszolgáltatott ügyfelek és a kiszolgálók között elfogják, beékelődéses támádást (man in the middle) hajtsanak végre, és arra kényszerítsék őket, hogy gyenge (“export grade”) titkosítást használjanak, amit a mai technikával könnyen vissza tudnak fejteni, illetve a forgalmat meg tudják változtatni.

Leírás

A kapcsolat nem tekinthető biztonságosnak, ha a kliens a szerver felkínálása alapjána az RSA_EXPORT_* titkosítási protokollok valamelyikét fogadja el. A friss (a CVE-2015-0204 sérülékenységet nem tartalmazó), illetve biztonságosan beállított OpenSSL-alapú szerverek nem kínálnak fel ilyen nem biztonságos protokollcsaládokat.

A kiszolgáltatott kilensek közé tartozik számos olyan Google és Apple készülék, amin nem javították az OpenSSL hibáját, vagy azok ahol letiltották a biztonságot nyújtó TLS protokoll használatát.

Megoldás

Apple:

 Az Apple is kiadta a FREAK sérülékenység javítására a javító patcheit MAC-re és iOS-re:

  • https://support.apple.com/en-us/HT204413
  • https://support.apple.com/en-us/HT204423

A mobil operációs rendszerek frissítése után a FREAK sérülékenység nem hárult el teljesen, mivel a felhasználók által használt applikációkban továbbra is fennáll az imént említett sérülékenység.

Microsoft:

A Windows rendszereknél a Márciusi frissítés Windows Server 2008-tól az újabb változatokig megoldja a problémát. 

https://technet.microsoft.com/library/security/MS15-031

Windows rendszereknél konfigurációs beállítások módosításával nem szüntethető meg az alapvető probléma, de ez is segíthet kivédeni a támadásokat. További információk a gyártó oldalán:

  • https://technet.microsoft.com/en-us/library/security/3046015
A FREAK ellen javasolt workaround Windows Server 2003 esetében megakadályozza 
Windows Update-ek későbbi települését.
Az otthoni használatra szánt Windows verziókhoz:
  • http://m.heise.de/security/meldung/Freak-Attack-Hotfix-legt-Windows-Update-lahm-2570391.html?wt_mc=rss.security.beitrag.atom&from-classic=1

HTTPS szerver tesztelése:

  • https://www.ssllabs.com/ssltest

A sérülékeny rendszerek esetében a következő üzenet jelenik meg: “This server is vulnerable to the OpenSSL CCS vulnerability (CVE-2014-0224) and exploitable”.  

  • https://sslanalyzer.comodoca.com/

Szerver oldalbeállításai:

  • https://wiki.mozilla.org/Security/Server_Side_TLS#Recommended_configurations
  • https://mozilla.github.io/server-side-tls/ssl-config-generator/

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2010-3765 – Mozilla Multiple Products RCE sérülékenysége
CVE-2013-3918 – Microsoft Windows Out-of-Bounds Write sérülékenysége
CVE-2025-27915 – Synacor Zimbra Collaboration Suite (ZCS) Cross-site Scripting sérülékenysége
CVE-2010-3962 – Microsoft Internet Explorer Uninitialized Memory Corruption sérülékenysége
CVE-2021-22555 – Linux Kernel Heap Out-of-Bounds Write sérülékenysége
CVE-2025-4008 – Smartbedded Meteobridge Command Injection sérülékenysége
CVE-2015-7755 – Juniper ScreenOS Improper Authentication sérülékenysége
CVE-2017-1000353 – Jenkins RCE sérülékenysége
CVE-2014-6278 – GNU Bash OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »