Недостатък, свързан с подложката PKCS #1 v1.5 в SSL сървърите, открит през 1998 г. и смятан за отстранен, все още оказва влияние върху няколко широко използвани проекта.
След обширни тестове, които измерват операциите от край до край, изследователите на Red Hat откриха няколко варианта на оригиналната атака за време, наричани общо „Атаката на Марвин“, които могат ефективно да заобиколят поправките и смекченията.
Проблемът позволява на нападателите потенциално да декриптират RSA шифри, да фалшифицират подписи и дори да декриптират сесии, записани на уязвим TLS сървър.
Използвайки стандартен хардуер, изследователите демонстрираха, че е възможно да се изпълни атаката на Марвин само за няколко часа, което доказва нейната практичност.
Red Hat предупреждава, че уязвимостта не е ограничена до RSA, а обхваща повечето асиметрични криптографски алгоритми, като ги прави податливи на атаки по странични канали.
„Макар че основното място на атаката са сървърите на TLS, основните проблеми, довели до широкото ѝ разпространение, са приложими за повечето асиметрични криптографски алгоритми (Diffie-Hellman, ECDSA и др.), а не само за RSA.“ – пише Red Hat.
Въз основа на проведените тестове следните реализации са уязвими към атаката на Marvin:
Атаката на Marvin няма съответен CVE, въпреки че подчертава фундаментален недостатък в дешифрирането на RSA, главно начина, по който се управляват грешките в подложките, поради разнообразието и сложността на отделните реализации.
Така че, въпреки че атаката Marvin е концептуален недостатък, не съществува единствена поправка или кръпка, която да може да се прилага универсално, и проблемът се проявява по различен начин във всеки проект поради уникалните им кодови бази и имплементация на RSA декриптиране.
Изследователите съветват да не се използва криптиране RSA PKCS#1 v1.5 и призовават засегнатите потребители да потърсят или да поискат от доставчиците да предоставят алтернативни начини за обратна съвместимост.
Простото деактивиране на RSA не означава, че сте в безопасност, предупреждава разделът с въпроси и отговори на страницата на Marvin Attack.
Рискът е същият, ако ключът или сертификатът RSA се използва на друго място в сървър, който го поддържа (SMTP, IMAP, POP пощенски сървъри и вторични HTTPS сървъри).
И накрая, Red Hat предупреждава, че сертифицирането по FIPS не гарантира защита срещу атаката Marvin, с изключение на сертифицирането на ниво 4, което гарантира добра устойчивост на атаки по странични канали.
Въпреки че няма видими признаци за използване на атаката Marvin от хакери в дивата природа, разкриването на подробности и части от тестовете и кода за фъзинг увеличава риска това да се случи в скоро време.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.