Forbidden Attack：7萬臺web伺服器陷入被攻擊的險境

一些受VISA HTTPS保護的站點，因為存在漏洞容易受到Forbidden攻擊，有將近70,000臺伺服器處於危險之中。

一種被稱為“Forbidden攻擊”的新攻擊技術揭露許多HTTPS簽證網站容易受到網路攻擊，大約70,000臺伺服器處於危險之中。一群國際研究人員(Hanno Böck, Aaron Zauner, Sean Devlin, Juraj Somorovsky, and Philipp Jovanovic)發現該威脅動作可以向訪問者的瀏覽器中注入惡意程式碼和偽造內容。

該組織已經發表了一篇題為“Nonce-Disrespecting對手:在TLS中對GCM的實用的偽造攻擊”的文章。

專家已經發現有184臺伺服器受到了攻擊，其中的一些屬於德國證交所德意志交易所和波蘭銀行業協會Zwizek Bankow Polskich。 這種攻擊利用並不新鮮，事實上這種攻擊利用已經有至少十年的時間了，但很顯然，它已經被遺忘了。Forbidden攻擊的漏洞利用證據是十分確鑿的，研究人員還現場演示瞭如何利用它來攻擊加密通訊。

包括德意志交易所的一些組織已經解決了這個問題， 但是Visa和Zwizek Bankow Polskich仍然是易受攻擊的。

該漏洞是由TLS協議中在資料加密時重用相同的隨機數引起的。nonce重用為Forbidden攻擊開啟了大門，黑客可以利用它來生成用於對網站內容進行身份驗證的關鍵材料。

使用相同的nonce使得當瀏覽器第一次連線到一個HTTPS保護的站點時，威脅活動可以很容易地通過與攻擊者共享的傳輸通道注入偽造的內容 (比如，在一個未加密的無線網路中，攻擊者在同一個區域網段)。

此時，篡改的傳輸不會觸發任何可疑行為來提醒受害者。

研究人員在他們發表的論文中這樣寫道：“在他給NIST Joux[18]的評論中描述了一個由於nonce重用而針對GCM的攻擊。這種攻擊允許攻擊者學習認證金鑰和偽造資訊。因為nonce的唯一性是典型的密碼分析的基本原則，所以Joux稱他的攻擊為“Forbidden攻擊”。不過，它強調了一個在實際實現時重要的失效模式。只要這個nonce被重用了一次並且被我們用來實施了一個針對HTTPS的實用的偽造攻擊，這將帶來嚴重的真實性的失效問題。”

黑客可以執行一個Forbidden攻擊來篡改通訊和新增惡意的JavaScript程式碼或新增用於欺詐活動的Web內容。

研究人員線上釋出的一個概念驗證利用程式碼顯示了攻擊的可行性，他們還發布了一個攻擊脆弱的Visa網站的視訊(https://youtu.be/qByIrRigmyo)。

專家們注意到，通過給予足夠的web請求，那些易受攻擊的網站會有很高的概率重用nonce，他們估計，對於一個成功的攻擊來說需要的請求數量仍然極高。

論文中的一個表格顯示，其中包括nonce碰撞的概率在目前的64位大小上是2n。專家們發現，大約230個請求時的概率是3%，235個請求時可以有100%的機率。

研究人員進行的這項研究被分成多個子任務，最初他們掃描網路尋找目標，然後他們試圖找到易受攻擊的那些。

“我們針對網路連線裝置的評估一直被分成多個子任務。最初是發現掃描，緊接著漏洞掃描發現目標裝置上使用不同引數的時間跨度約為18天。在本節中，我們描述了在我們的評估中用於發現和分析網路連線裝置的方法。”這篇論文中寫道。

在被研究人員發現的這70000個網站中，專家們發現了幾個有缺陷的TLS實現，其中一個在IBM的Domino Web伺服器上，另一個在Radware的負載平衡器上，這兩個目前都已經被修復了。

結語

對於企業而言最重要的資產就是應用程式和其中的資料，現有常用的防護手段包括基礎設施保護和邊界防護，比如防火牆/WAF/IPS等。

• 其一，邊界防護是對網路訪問和內容進行檢查，這些保護措施並不清楚應用程式的行為：內部邏輯和資料處理過程，因此缺乏保護的精確性。
• 其二，邊界技術“天真”的認為程式內部是安全的，不安全因素來自外部。但從過去幾年的經驗中得出，最具毀滅性的攻擊，恰恰來自內部，甚至是企業所信賴的員工。這正是邊界技術的軟肋。
• 其三，過去一段時間的資料表明，明顯網路邊界逐漸消失。隨著網際網路的發展，越來越多的消費者開始向雲端靠攏，他們更多的工作都是在企業外部完成的，邊界技術難以針對這種變化環境提出有效的保護。

RASP，Runtime Application Self-protection，實時應用自我防護，是一種最新的應用層防護技術。能夠克服上述問題，在執行時環境結合應用上下文防護，程式碼級定位漏洞，完爆Forbidden Attack等常見攻擊。