info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

آسیب‌پذیری poodle

poodle مخفف نام Padding Oracle On Downgraded Legacy Encryption است. این آسیب‌پذیری در تاریخ ۱۴ اکتبر ۲۰۱۴ توسط تیم امنیت اطلاعات شرکت گوگل منتشر شده است. این آسیب پذیری ناشی از مشکلات پیاده سازی پروتکل نیست بلکه از یک ضعف ساختاری در پروتکل SSLv3 سرچشمه می‌گیرد. بنابراین تنها راه برطرف کردن آن، غیر فعال کردن کامل این پروتکل است. این آسیب پذیری به مهاجم این امکان را می دهد که از محتوای حساس کاربر در حین یک اتصال ssl، رمزگشایی نموده و به عنوان نمونه به اطلاعات هویتی در کوکی دسترسی پیدا کند. این امر امکان سواستفاده ازحساب های بانکی و... را فراهم می نماید.
SSLV3 یک پروتکل برای رمزنگاری ارتباط بین کلاینت و سرور است تا محتوای رد و بدلی بین آنها قابل مشاهد توسط بقیه نباشد. اما این پروتکل منسوخ و ناامن است(بیش از ۱۸ سال از عمر این پروتکل می گذرد). جایگزین این پروتکل TLS‪(Transport Layer Secure)‬ می باشد که چنین ضعف ساختاری در برقراری ارتباط امن در آن وجود ندارد. اما در برقراری ارتباط امن بینclient و Server به منظور سازگاری با نسخه های قدیمی تر مرورگرها، پروتکل های قدیمی تر هم پشتیبانی می گردد. بنابراین وقتی یک تلاش برای اتصال امن بین client و server با مشکل روبرو می شود سرور از پروتکل قدیمی تر مانند sslv3 استفاده می نماید. شخص مهاجم از این ویژگی استفاده می کند و در فرایند مذاکره بین client و server با شبیه سازی شرایطی که نشانگر عدم برقراری ارتباط امن بین client و server است، سرور را مجبور می کند از پروتکل SSLv3 استفاده نماید و آنگاه از ضعف ساختاری پروتکل SSLV3 با استفاده از یک حمله مرد میانی سودجویی می نماید.

شرایط اجرای حمله
به منظور بهره برداری موفق، مهاجم بایستی بتواند کدهای مخرب javascript را در مرورگر قربانی تزریق نماید. و نیز بتواند ترافیک رمز شده را مشاهده و دستکاری نماید. در حقیقت شرایط حمله مرد میانی بایتسی محیا باشد.

شناسایی آسیب پذیری در مرورگر و سرور:
• به منظور تست آسیب پذیری مرورگر خودمی توانید به وب سایت زیر مراجعه کنید.

https://www.poodletest.com

• به منظور تست آسیب پذیری سرور خود می توانید به وب سایت زیر مراجعه نمایید.

https://www.ssltest.com

راه‌کارهایی برای طرف‌سازی آسیب‌پذیری:
به منظور برطرف سازی این آسیب پذیری راه حل اساسی از کار انداختن پروتکل SSLV3 بر روی مرورگر و سرور است. در زیر نحوه غیرفعال کردن SSLV3 بر روی مرورگر های مختلف نشان داده شده است.

مرورگر فایرفاکس
با وارد کردن about:config در نوار آدرس، صفحه زیر را مشاهد خواهید کرد. با تایپ security.tls.version در نوار جستجو، مقدار value را برای security.tls.version.min برابر با ۱ قرار دهید.

گوگل کروم
با راست کلیک بر روی صفحه مرورگر و ورود به بخش properties با نوشتن --ssl-version-min=tls1 در قسمت مشخص شده، موجب غیرفعال سازی SSL بر روی مرورگر شوید.

Right click ‎/properties/‎

اینترنت اکسپلورر

همچنین در مقاله منتشر شده از شرکت گوگل به استفاده از شاخص TLS_FALLBACK_SCSV برای جلوگیری از استفاده از پروتکل های قدیمی تر (مانند sslv3 ) در زمان عدم برقراری ارتباط بین کلاینت و سرور اشاره شده است. شرکت گوگل این ویژگی را در گوگل کروم و وب سایت خود از ماه February پیاده سازی کرده است. فایرفاکس نیز اعلام کرده این شاخص را در ابتدای سال ۲۰۱۵ پیاده سازی خواهد کرد.

غیرفعال سازی SSLV3 در سرور

به منظور غیرفعال سازی sslv3 بر روی IISمی توانید به وب سایت زیر مراجعه کنید.

https://www.digicert.com/ssl-support/iis-disabling-ssl-v3.htm

تحت نظارت وف ایرانی