FREAK 漏洞導致加密強度降低

根據資安研究人員及新聞媒體指出,一個新發現的漏洞很可能從 90 年代就已延續至今。這個俗稱為 FREAK (Factoring RSA Export Keys) 的漏洞會導致安全連線降低加密強度,因而讓網路犯罪集團更容易解開加密的資訊。

SSL

從1990 年代存在至今的漏洞

此漏洞始於 1990 年代。當時,美國政府規定,凡是要出口的軟體「其使用的加密金鑰長度皆不得超過 512 位元」。根據研究人員的說法,這樣的加密強度在 90 年代或許足夠,但今日,一個 512 位元的 RSA 金鑰大約只要 7 小時就能破解,而且雲端上提供了龐大的運算效能,花個 100 美元就能買到。

儘管這項禁令在 90 年代後期即已解除,但有些 TLS 和 SSL 通訊協定軟體仍然支援這類所謂「出口等級」的加密模式。

FREAK 問題曝光

FREAK 漏洞是由法國巴黎 INRIA 機構的研究員 Karthikeyan Bhargavan 以及 miTLS (TLS 參考實作) 團隊所發現。他們發現 OpenSSL (1.0.1k 以前的版本) 與 Apple TLS/SSL 的用戶端都可能遭到中間人 (MITM) 攻擊。一旦含有漏洞的用戶端與伺服器之間的 HTTPS 連線遭到駭客從中攔截,駭客就能強迫連線採用老舊的出口等級加密方式。

如此一來,從中「竊聽」的駭客,就能更輕鬆地解開攔截到的資訊。

Apple 的 SecureTransport 軟體元件廣泛運用在 iOS 和 OS X 的應用程式當中,包括 iPhone、iPad 和 Mac 上隨附的 Safari 瀏覽器。至於 Android 的 OpenSSL 軟體元件也廣泛運用在瀏覽器及其他應用程式當中。就趨勢科技了解,只有含有 CVE-2015-0204 漏洞的 OpenSSL 版本才會遭到這項攻擊。

熱門網站也受到影響

根據報導,在一般瀏覽器所信任的網站當中,有 37% 存在這項漏洞。這些受影響的網站包括:Bloomberg、Business Insider、ZDNet、HypeBeast、Nielsen 以及美國聯邦調查局 (FBI)。值得一提的是,某些網站只有特定國家的版本才受到影響。

解決 FREAK 漏洞的問題

OpenSSL 元件已在一月份釋出 CVE-2015-0204 漏洞修補程式。Apple 據聞也正在部署行動裝置和電腦的修補程式。

趨勢科技建議 Android 使用者盡量避免使用 Android 預設的瀏覽器,改用 Google Chrome 瀏覽器即可避開這項漏洞。除此之外,Google 搜尋網站的連線也不受影響。

根據 Deep Security Labs 總監 Pawan Kinger 表示,FREAK 是一項既嚴重又真實的漏洞,但需要一定的技術程度才能運用此漏洞發動攻擊。不過,這阻止不了有決心的駭客。駭客要利用 FREAK 漏洞來發動攻擊,首先必須先對伺服器發動中間人攻擊。歹徒必須先取得用戶端和伺服器之間的 SSL 連線階段控制權,然後才能強迫連線改用較低等級的加密。此外,歹徒還要截取加密的網路流量,取得降低加密等級的網路流量之後,歹徒就能在幾小時之內加以暴力破解 (若是高等級的加密則可能需要數日或數星期才能破解)。

我們正在研究該漏洞對伺服器的確切影響及攻擊機制。現階段,我們建議仍在使用出口級加密金鑰的企業網站或其他伺服器應用程式都升級到最新版的作業系統與 OpenSSL 軟體。除此之外,系統管理員也可利用 SSL Labs 的 SSL Server Test 網站來測試自己的網站是否存在此漏洞。

另外,專門提供該漏洞相關資訊的 freakattack.com 網站也提供了一些暫時的解決方法:

  • 系統管理員應停止支援任何出口的軟體。
  • 系統管理員應停止支援所有已知不安全的金鑰,並且啟用前向保密 (forward secrecy) 功能。

趨勢科技Deep Security可利用以下深層封包檢查 (DPI) 規則來防範使用者遭到這項漏洞攻擊:

  • Openssl RSA Downgrade Vulnerability (OpenSSL RSA 降級漏洞) (CVE-2015-0204)

最新消息:太平洋標準時間 2015 年 3 月 5 日下午 05:20

我們新增了以下 DPI 規則來防範伺服器遭到這項威脅:

  • 1006561 – Identified Usage Of TLS/SSL EXPORT Cipher Suite In Response (在回應當中使用出口等級 TLS/SSL 金鑰)
  • 1006562 – Identified Usage Of TLS/SSL EXPORT Cipher Suite In Request (在請求當中使用出口等級 TLS/SSL 金鑰)

最新消息:太平洋標準時間 2015 年 3 月 5 日上午 09:43

Microsoft 已證實所有的 Windows 版本皆含有此漏洞。Red Hat 也確認第 6 和第 7 版的 Red Hat Enterprise Linux (RHEL) 也含有此漏洞。目前已知受 FREAK 漏洞影響的瀏覽器包括:Internet Explorer、Opera (Mac OS X / Linux) 及 Safari

原文出處:FREAK Vulnerability Forces Weaker Encryption

 

 

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知新增到興趣主題清單,重要通知與好康不漏接


趨勢科技PC-cillin 2015雲端版 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

免費下載 防毒軟體 PC-cillin 試用版下載

FB_banner0331-2