Qualys: POODLE можно эксплуатировать для атак по TLS

Несмотря на то, что специалисты Google сделали все возможное для того, чтобы минимизировать последствия от уязвимости POODLE, брешь до сих пор активно эксплуатируется. Как сообщают специалисты компании Qualys в своем блоге, киберпреступникам удалось приспособить POODLE к атакам по протоколу TLS.

Уязвимость получила идентификатор CVE-2014-8730. Она эксплуатирует ту же проблему, которая существует в POODLE: ошибка в обработке паддинга (padding). По словам Qualys, эксплуатация бреши возможна, поскольку в некоторых имплементациях TSL не проверяют структуру паддинга после расшифрования.

Отметим, что злоумышленнику даже не потребуется вынудить сайт перейти на устаревшую версию SSL 3.0 (более того, это уже практически невозможно). Как  объяснил специалист Google Адам Лэнгли (Adam Langley) в блоге Imperial Violet, паддинг в TLS представляет собой модифицированную версию паддинга в SSL 3.0. В связи с этим киберпреступники могут применить функции расшифровки SSL 3.0 для взлома сайтов, использующих протокол TLS.

Уже появились первые продукты, уязвимые к новому виду атаки. Компания F5 Networks признала , что ее ПО F5 Kit не защищено от новой версии POODLE. На официальном сайте поддержки доступны инструкции по устранению бреши.

Лэнгли отметил, что необходимо использовать, по меньшей мере, TLS 1.2 с поддержкой AEAD. Все устаревшие продукты, как он выразился, «криптографически сломаны».