出席者トップ100のサイトを最近スキャンしたところ、FacebookやPayPalを含む27のサイトには、1998年にDaniel Bleichenbacherが発見したSSLに非常に類似した脆弱性が含まれていました 。 RSAキー管理アルゴリズムのエラーにより、暗号化キーなしで特定のリクエストを使用してデータを復号化することができました。 アルゴリズムの脆弱性は修正されていませんが、脆弱性を閉じるいくつかの回避策が導入されました。
19年後、研究者は再び同様の攻撃を使用し、最初の100万のサイトの約2.8%が脆弱であることがわかりました。 また、多くのメーカーのソフトウェア製品といくつかのオープンソースプロジェクトも脆弱でした。 リストはこの記事で見つけることができます: VERT Threat Alert:Return of Bleichenbacher's Oracle Threat(ROBOT) 。
新しい脆弱性はROBOTと名付けられました-「Return Of Bleichenbacher's Oracle Threat」の略です。
その使用は複雑であるため(攻撃者は脆弱なサイトに何千もの接続を作成する必要があります)、この脆弱性は有名なHeartbleedほど危険ではありませんが、まだすぐに注意する必要があります。 ROBOT Checkを使用してサイトをチェックし、ソフトウェアを更新することをお勧めします。 そして、長期的には、RSAキーの使用をやめて、Elliptic-Curve Diffie-Hellmanスキームの使用を開始します。
記事に基づく: サイトの秘密暗号鍵を台無しにする1998年の攻撃が大々的に復活
1998年からのサービスの脆弱性-ROBOTに適合
All Articles