یک سال پس از کشف POODLE، حکایت همچنان باقی

به گزارش شرکت مهندسی شبکه گستر، اخیراً برخی شرکت های ارائه دهنده خدمات اینترنت (ISP) به تعدادی از مشترکین خود نامه ای مبنی بر آلوده بودن مشترک به تهدیدی بنام POODLE ارسال کرده اند. این موضوع بهانه ای شد تا که یکبار دیگر مروری داشته باشیم بر حملات موسوم به POODLE.

در مهر ماه 1393، کارشناسان شرکت Google روش جدیدی را برای سوء استفاده از یک نقطه ضعف در پودمان رمزگذاری قدیمی SSL 3.0 ابداع کردند که امکان سرقت اطلاعات از ترافیک امن رد و بدل شده بین کاربر و سرور را فراهم می کرد. این کارشناسان این نوع حمله را POODLE یا Padding Oracle On Downgraded Legacy Encryption نامگذاری کردند.

در این حمله ارتباط بین کاربر و سرور وادار به استفاده از SSL 3.0 شده و سپس با سوء استفاده از نقطه ضعف در این پودمان، امکان رمزگشایی قسمتی از اطلاعات رمزگذاری شده، فراهم می شود.

در آن زمان، مرورگرهای اینترنت به نحوی تنظیم شده بودند که اگر سروری سازگار با TLS نباشد و تنها از SSL 3.0 پشتیبانی کند، مرورگر هم تغییر روش داده و از SSL 3.0 برای تبادل اطلاعات با آن سرور استفاده می کرد. عبارت TLS مخفف Transport Layer Security است.

برای انجام حمله POODLE باید ارتباط بین کاربر و سرور تحت کنترل فرد نفوذگر باشد تا بتواند این حمله را که از نوع Man-in-the-Middle است، اجرایی کند. در حملات Man-in-the-Middle نفوذگر باید در میان راه، قادر به شنود ترافیک رد و بدل شده بین کاربر و سرور باشد. این امکان در شبکه های آزاد مانند شبکه های Wi-Fi در محیط های عمومی مانند فرودگاه و هتل وجود دارد.

نقطه ضعفی که در پودمان SSL 3.0 مورد سوء استفاده قرار می گیرد مربوط به ضعف الگوریتم رمزگذاری CBC است. در آن زمان تصور می شد پودمان TLS و دیگر پودمان های رمزگذاری که از الگوریتم CBC استفاده نمی کنند، فاقد این نقطه ضعف هستند و در برابر حملات POODLE آسیب پذیر نمی باشند. اما در آذر 93، کارشناسان دریافتند که بر اساس نحوه پیاده سازی پودمان TLS، ضعف POODLE می تواند در این پودمان هم وجود داشته باشد. این مشکل ابتدا در Mozilla NSS که یک Cryptographic Library است و در مرورگر Firefox بکار گرفته شده، شناسایی شد.

تحقیقات بعدی نشان داد که بسیاری از سایت های مهم و مشهور که از پودمان TLS استفاده می کنند، دچار ضعف POODLE هستند. ضمن اینکه مشخص شد که این سایت های آسیب پذیر از تجهیزات Load Balancer متعلق به شرکت های F5 Networks و A10 Networks برای پیاده سازی پودمان TLS استفاده می کردند. هر دو شرکت اصلاحیه هایی در این مورد منتشر کرده اند.

در پی کشف این آسیب پذیری، شرکت های سازنده مشهورترین مرورگرهای دنیا نیز برنامه های خود را برای ایمن سازی مرورگر خود در برابر حملات POODLE اعلام کردند. شرکت Mozilla پودمان SSL 3.0 را در نسخه 34 مرورگر Firefox غیرفعال کرد. شرکت گوگل نیز در نسخه 40 مرورگر Chrome پشتیبانی از این پودمان را به صورت پیش فرض غیرفعال نمود. شرکت مایکروسافت هم در فروردین امسال اقدام به غیر فعال کردن پودمان SSL 3.0 در نسخه 11 مرورگر Internet Explorer کرد.

اما راهکار اصلی در مقابله با حملات POODLE ترمیم سرورهای وب آسیب پذیر و یا تجهیزات Load Balancer آسیب پذیری است که در جلوی این سرورها قرار می گیرند.

باید توجه داشت که این آسیب پذیری ممکن است در بسیاری از تجهیزات شبکه ای فعال باشد. توصیه می کنیم برای برطرف نمودن آسیب پذیری این تجهیزات به سایت شرکت های سازنده مراجعه کنید.

نامه های اخیر شرکت های ارائه دهنده خدمات اینترنتی حاکی از این موضوع است که حداقل برخی از سایت های کشور همچنان به حملات POODLE آسیب پذیر هستند.

به مدیران سایت ها، توصیه می شود برای بررسی آسیب پذیر بودن سایت خود، از ابزار رایگان شرکت امنیتی Qualys استفاده نموده و در صورت آسیب پذیر بودن در اسرع وقت اقدام به ترمیم آن کنند.