مؤسسه OpenSSL بیش از ۱۲ آسیبپذیری را در کتابخانه کد رمزنگاری(۱) خود برطرف کرده است. این آسیبپذیریها دارای حساسیت بالایی بودند که جهت حملههای DoS مورد استفاده قرار میگرفتند. OpenSSL به عنوان یک کتابخانه رمزنگاری متن-باز(۲) بهطور گسترده استفاده میشود که ارتباطات امن رمزگذاری شده را با استفاده از لایه سوکتهای امن(۳) (SSL) یا امنیت لایه انتقال(۴) (TLS)، برای اکثر وبسایتها و همچنین سایر سرویسهای امن فراهم میکند.
آسیبپذیریها در OpenSSL نسخههای ۱٫۰٫۱، ۱٫۰٫۲ و ۱٫۱٫۰ وجود داشت که در نسخههای ۱٫۱٫۰a، ۱٫۰٫۲i و ۱٫۰٫۱u برطرف شده است.
نقص Critical-rated) CVE-2016-6304) میتواند با فرستادن درخواست OCSP (پروتکل وضعیت گواهی آنلاین)(۵) به سرور هدف در حین مذاکرات اتصال، مورد سوءاستفاده قرار گیرد، که این امر باعث خستگی حافظه(۶) شده و برای راهاندازی حملات DoS استفاده میشود.
پروتکل OCSP
OCSP یک پروتکل است که به منظور تأیید اعتبار یا بدست آوردن وضعیت ابطال یک گواهی دیجیتال از یک وبسایت، طراحی شده است و توسط همه مرورگرهای وب پیشرفته پشتیبانی میشود.
OCSP به دو مؤلفه سرویسگیرنده و سرویسدهنده تقسیم میشود. هنگامی که یک برنامه یا یک مرورگر اینترنت تلاش میکند تا یک گواهی SSL را تایید کند، جزء سرویسگیرنده یک درخواست به یک پاسخدهنده آنلاین از طریق پروتکل HTTP ارسال میکند که در برگشت، وضعیت گواهی را (معتبر یا نامعتبر) برمیگرداند.
به گزارش شی لی(۷)، یک محقق در شرکت امنیتی چینی Qihoo 360، این آسیبپذیری بر روی سرویسدهندهها با تنظیمات پیشفرض تأثیر میگذارد، حتی اگر آنها از OCSP پشتیانی نکنند. این محقق توضیح میدهد که: “مهاجم میتواند از افزونه “TLSEXT_TYPE_status_request” در TLS استفاده کرده و OCSP ids را با انجام مذاکرات مستمر تکمیل کند.”
نحوه جلوگیری از حمله OpenSSL DoS
مدیران میتوانند با اجرا کردن ‘no-ocsp’ میزان خسارت را کاهش دهند. علاوه بر این، سرویسدهندههایی که از نسخههای قدیمی OpenSSL پیش از ۱٫۰٫۱g استفاده میکنند، در تنظیمات پیشفرض خود آسیبپذیر نیستند.
یکی دیگر از آسیبپذیریهای سطح متوسط، (CVE-2016-6305) است که میتواند منجر به حمله DoS شود و در OpenSSL 1.1.0 (که یک ماه پیش راهاندازی شده است) قرار داشت و وصله امنیتی آن ارائه شده است.
تیم مربوطه، همچنین ۱۲ آسیبپذیری با شدت کم را در آخرین نسخه OpenSSL برطرف کرد، اما بیشتر آنها بر روی نسخه ۱٫۱٫۰ تأثیر نمیگذارد.
شایان ذکر است که پروژه OpenSSL پشتیبانی خود را از OpenSSL نسخه ۱٫۰٫۱ در ۳۱ دسامبر ۲۰۱۶ به پایان میرساند، بنابراین، کاربران هیچگونه بهروزرسانی امنیتی را از شروع سال ۲۰۱۷ دریافت نمیکنند. در نتیجه، به کاربران توصیه میشود برای جلوگیری از مشکلات امنیتی، OpenSSL خود را ارتقا دهند.
منبع
https://thehackernews.com/2016/09/openssl-dos-attack.html
(۱) Cryptographic Code Library
(۲) Open-Source Cryptographic Library
(۳) Secure Sockets Layer (SSL)
(۴) Transport Layer Security (TLS)
(۵) Online Certificate Status Protocol
(۶) Memory Exhaustion
(۷) Shi Lei
ثبت ديدگاه