CH azonosító
CH-12043Angol cím
Tracking the FREAK AttackFelfedezés dátuma
2015.03.02.Súlyosság
KözepesÉrintett rendszerek
AndroidApple
BlackBerry
Microsoft
OpenSSL
OpenSSL Software Foundation
Safari
Windows
iPhone OS (iOS)
Érintett verziók
OpenSSL < 0.9.8zd, < 1.0.0p, < 1.0.1k BlackBerry OS 10.x BlackBerry OS 7.x
Összefoglaló
Egy SSL/TLS biztonsági rés látott nap világot, amit FREAK támádasnak neveztek el. A sérülékenység lehetővé teszi a támadóknak, hogy a HTTPS kapcsolatokat a kiszolgáltatott ügyfelek és a kiszolgálók között elfogják, beékelődéses támádást (man in the middle) hajtsanak végre, és arra kényszerítsék őket, hogy gyenge (“export grade”) titkosítást használjanak, amit a mai technikával könnyen vissza tudnak fejteni, illetve a forgalmat meg tudják változtatni.
Leírás
A kapcsolat nem tekinthető biztonságosnak, ha a kliens a szerver felkínálása alapjána az RSA_EXPORT_* titkosítási protokollok valamelyikét fogadja el. A friss (a CVE-2015-0204 sérülékenységet nem tartalmazó), illetve biztonságosan beállított OpenSSL-alapú szerverek nem kínálnak fel ilyen nem biztonságos protokollcsaládokat.
A kiszolgáltatott kilensek közé tartozik számos olyan Google és Apple készülék, amin nem javították az OpenSSL hibáját, vagy azok ahol letiltották a biztonságot nyújtó TLS protokoll használatát.
Megoldás
Apple:
Az Apple is kiadta a FREAK sérülékenység javítására a javító patcheit MAC-re és iOS-re:
- https://support.apple.com/en-us/HT204413
- https://support.apple.com/en-us/HT204423
A mobil operációs rendszerek frissítése után a FREAK sérülékenység nem hárult el teljesen, mivel a felhasználók által használt applikációkban továbbra is fennáll az imént említett sérülékenység.
Microsoft:
A Windows rendszereknél a Márciusi frissítés Windows Server 2008-tól az újabb változatokig megoldja a problémát.
https://technet.microsoft.com/library/security/MS15-031
Windows rendszereknél konfigurációs beállítások módosításával nem szüntethető meg az alapvető probléma, de ez is segíthet kivédeni a támadásokat. További információk a gyártó oldalán:
- https://technet.microsoft.com/en-us/library/security/3046015
A FREAK ellen javasolt workaround Windows Server 2003 esetében megakadályozza Windows Update-ek későbbi települését.
Az otthoni használatra szánt Windows verziókhoz:
- http://m.heise.de/security/meldung/Freak-Attack-Hotfix-legt-Windows-Update-lahm-2570391.html?wt_mc=rss.security.beitrag.atom&from-classic=1
HTTPS szerver tesztelése:
- https://www.ssllabs.com/ssltest
A sérülékeny rendszerek esetében a következő üzenet jelenik meg: “This server is vulnerable to the OpenSSL CCS vulnerability (CVE-2014-0224) and exploitable”.
- https://sslanalyzer.comodoca.com/
Szerver oldalbeállításai:
- https://wiki.mozilla.org/Security/Server_Side_TLS#Recommended_configurations
- https://mozilla.github.io/server-side-tls/ssl-config-generator/
Támadás típusa
Authentication Issues (Hitelesítés)Crypthographical (Titkosítás)
Hijacking (Visszaélés)
Information disclosure (Információ/adat szivárgás)
Manipulation of data
Misconfiguration (Konfiguráció)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Remote/Network (Távoli/hálózat)
Hivatkozások
Egyéb referencia: freakattack.com
CVE-2015-0204 - NVD CVE-2015-0204
Egyéb referencia: securityblog.redhat.com
Gyártói referencia: technet.microsoft.com
Gyártói referencia: www.engadget.com
Egyéb referencia: www.blackberry.com