對於安全加密通訊,傳輸層安全協議(SSL/TLS)的重要性不言而喻。如今的TLS協議不僅被用於傳輸層通訊,更作為一個標準的加密保護協議被廣泛應用於 FTP, 電子郵件和VPN等領域,時刻保護著我們網路通訊的安全。
上週一個新的加密攻擊被披露,它可以攻破加密的TLS流量,允許攻擊者攔截並竊取以前認為安全可靠的資料。這兩個被披露的新的TLS協議漏洞被命名為“Zombie POODLE”和“ GOLDENDOODLE(CVE)” 使用Zombie POODLE,能夠在Citrix負載均衡器中恢復POODLE攻擊,與此同時,GOLDENDOODLE是一種類似的攻擊,但具有更強大,更快速的加密黑客攻擊效能。
在Alexa排名前100萬的網站中,約有2000個網站易受Zombie POODLE的攻擊,約1000個網站易受GOLDENDOODLE的攻擊,還有數百個網站仍易受五年前就被曝出的舊漏洞POODLE的攻擊。 此攻擊所需條件:
1、HTTPS服務端使用了CBC密碼套件
2、在被攻擊客戶端和被攻擊伺服器之間建立中間人通道MITM,如建立惡意WiFi熱點,或者劫持路由器等中間網路裝置
3、攻擊者通過植入使用者訪問的非加密網站上的程式碼,將惡意JavaScript注入受害者的瀏覽器。
4、惡意指令碼構造特定的HTTPS請求加密網站,結合中間人旁路監聽加密資料,多次請求後即可獲得加密資料中的Cookie和憑證。
亞洲誠信作為網際網路安全SSL/TLS領域的資深技術團隊,率先推出應對策略:
1、確保全站HTTPS完整性,杜絕引入不安全的外鏈(HTTP指令碼資源,尤其是JavaScript指令碼),可以通過亞洲誠信提供的MySSL企業版進行不安全外鏈監控。
2、檢查伺服器,避免使用RC4和CBC等不安全密碼套件,通過MySSL.com上檢測,支援的加密套件中避免出現弱密碼和包含CBC的密碼套件。
3、涉及敏感資訊或者重要商業資料的系統加強異常狀況監測和巡查,並保持符合HTTPS最佳安全實踐。可前往https://MySSL.com獲取HTTPS最佳實踐白皮書。
另外: 為幫助易受攻擊的網站更好的防範和應對此次威脅,亞洲誠信對業界提供了7*24小時線上諮詢服務,您可以通過關注微信公眾號[亞洲誠信TrustAsia]獲取技術支援。
● 技術支援熱線:18916822880 ● 技術支援郵箱:support@trustasia.com