I ricercatori della Qualys hanno rivelato che Poodle attack rischia di colpire alcuni dei siti più popolari, perché il difetto riguarda anche le recenti implementazioni TLS.
Cos’è Poodle Attack
POODLE (Padding Oracle On Downgraded Legacy Encryption) è una vulnerabilità che interessa l’SSL, scoperta nel mese di ottobre 2014 dai ricercatori Google. Questi hanno spiegato che il POODLE Attack è legato all’SSL v.3, usato dalla maggior parte dei server e dei browser. La versione 3 del protocollo SSL viene usata per proteggere i canali di comunicazione, nonostante sia stato sostituito dal Transport Layer Security (TLS).
Purtroppo SSLv3, a differenza di TLS 1.0 o successivi, non esegue una convalida di tutti i dati relativi a ogni messaggio inviato su un canale sicuro. Questa circostanza permette ad un malintenzionato di decifrare ogni singolo byte crittografato. In altre parole, POODLE ha permesso agli aggressori digitali di intercettare il traffico tra il browser dell’utente e il sito web HTTPs attraverso un attacco Man-in-the-Middle (MitM), causando l’esposizione di dati sensibili.
Il mondo corre ai ripari per proteggersi da Poodle Attack
In tutto il mondo i webmaster, dopo la segnalazione effettuata dal team di ricerca di Google, hanno patchato i loro sistemi per riparare la falla. Ma POODLE spaventa ancora gli esperti di sicurezza, perché la vulnerabilità interessa anche implementazioni del protocollo più recente Transport Layer Security (TLS).
La notizia è sconcertante, perché l’industria della sicurezza riteneva che il TLS fosse immune dal POODLE Attack. Il POODLE può invece ledere alcuni dei siti più popolari, compresi quelli gestiti da enti governativi, istituzioni finanziarie e aziende private, tra cui la Bank of America e Accenture.
La nuova vulnerabilità codificata come CVE-2014-8730, è considerata critica e colpisce TLS versione 1.2.
La scoperta dei ricercatori Qualys
La società Qualys riferisce che è stato stimato circa un 10 percento dei server vulnerabili al POODLE Attack attraverso TLS.
L’obiettivo principale di un POODLE Attack attraverso TLS sono ancora i browser, in quanto il malintenzionato deve avere la possibilità di “iniettare” codice JavaScript dannoso per iniziare l’attacco.
Qualys fornisce anche un test online gratuito per controllare se il proprio sistema è vulnerabile.
Finora gli esperti di sicurezza hanno scoperto che load balancer e altri dispositivi di rete venduti da F5 Networks e A10 Networks, e che supportano le connessioni TLS, sono vulnerabili a questa variante del POODLE Attack. F5 Networks ha confermato che il kit F5 è vulnerabile all’attacco.
Da Google fanno sapere che molti altri vendor sono vulnerabili all’attacco POODLE su connessione TLS. Ora che la falla è stata diffusa pubblicamente dovrebbero venire rapidamente alla luce gli altri prodotti esposti al difetto.
