POODLE ( Padding Oracle On Downgraded Legacy Encryption ) er en type angreb inden for computersikkerhed såsom " mand i midten ", når en angriber ved at blokere TLS 1.0 og øge antallet af forbindelsesforsøg får internetklienter og -brugere til at bruge SSL version 3.0 sikkerhedssoftware med magt [1] . Efter at systemet er blevet rullet tilbage til SSL 3.0, bruger angriberen Padding Oracle angrebet .
Denne type sårbarhed blev opdaget af medlemmer af Google Security Team Bodo Möller, Tai Duong og Krzysztof Kotowicz [1] . De offentliggjorde opdagelsen af sårbarheden den 14. oktober 2014 [2] , på trods af at den tilsvarende artikel er dateret noget tidligere - september 2014. Den 8. december samme år blev en version af sårbarheden af typen POODLE annonceret, som også påvirker TLS - trafik [3] . Den oprindelige POODLE-sårbarhed blev føjet til databasen Commonly Known Information Security Vulnerabilities ( CVE ) med identifikationen CVE -2014-3566 [4] . F5 Networks har også anmodet om, at en version af POODLE-angrebet mod TLS føjes til databasen , som er blevet tildelt identifikatoren CVE -2014-8730 [5] .
På grund af det faktum, at dette angreb udnytter sårbarhederne i SSL 3.0-protokollen, og der ikke er nogen rimelig løsning på problemet med disse sårbarheder, for at sikre en sikker forbindelse, blev det nødvendigt helt at opgive brugen af denne protokol [1 ] . I oktober 2014 annoncerede Google sin hensigt om helt at stoppe med at understøtte SSL 3.0-protokollen i sine produkter i løbet af de næste par måneder [6] . Muligheden for at falde tilbage til SSL 3.0 blev deaktiveret i Chrome 39, udgivet i november 2014 [7] . Understøttelse af SSL 3.0 -protokollen blev som standard forældet i Chrome 40, udgivet i januar 2015 [8] . Den 29. oktober 2014 udgav Microsoft et hotfix, der deaktiverede SSL 3.0-understøttelse i Internet Explorer og Windows Vista / Server 2003 og nyere. Samme dag meddelte Microsoft, at det planlægger at deaktivere SSL 3.0-understøttelse som standard i sine produkter og tjenester inden for et par måneder [9] . Den 10. februar 2015 deaktiverede Microsoft muligheden for at fallback til SSL 3.0 i Internet Explorer 11 -browsere for websteder i sikker tilstand [10] . For andre websteder blev dette gjort den 14. april 2015 [11] .
POODLE er et eksempel på en sårbarhed , der med succes kan udnyttes af en mekanisme designet til bevidst at sænke sikkerheden af et link for kompatibilitet. Til at arbejde med ældre servere bruger mange TLS-klienter den såkaldte "nedgraderingsdans", som er som følger: ved det første forsøg på at etablere kommunikation over TLS-protokollens håndtryk , beder klienten serveren om at bruge den seneste version af TLS , der understøttes af klienten . Hvis dette forsøg mislykkes, forsøger klienten at etablere en forbindelse ved hjælp af en ældre version af TLS -protokollen, indtil forbindelsen er etableret. Denne bevidste forringelse af sikkerheden fra klientens side kan være forårsaget af netværksafbrydelser såvel som ondsindede angreb. Hvis en angriber, der kontrollerer netværkssektionen mellem serveren og klienten, forstyrrer TLS-handshake -processen og kasserer alle klientmeddelelser med et tilbud om at etablere en sikker forbindelse ved hjælp af TLS-protokollen version 1.0 og nyere, vil klienter, der understøtter "nedgraderingen" dance" vil være klar til at begrænse sig til en mindre sikker SSL 3.0 . Som følge heraf bruges usikre SSL -krypteringspakker til at skjule data ved at bruge enten RC4 -strømchiffer- eller CBC- krypteringstilstanden, der er modtagelige for Padding Oracle - angrebet . I tilfælde af en vellykket udnyttelse af denne sårbarhed behøver en angriber kun at udføre et gennemsnit på 256 SSL 3.0 -anmodninger for at kunne dekryptere 1 byte af krypterede meddelelser [1] [12] [13] .
Der er behov for større omhu, når man designer systemer placeret i stærkt fragmenterede domæner, da disse domæner kan have en udbredt mekanisme til at nedgradere linkets sikkerhed af angribere . En måde, som gør det muligt for en angriber at reducere beskyttelsen af kanalen, er at efterligne kommunikationsafbrydelser ved brug af TLS-protokollen [14] .
En tilgang til at forhindre POODLE-angreb er fuldstændigt at deaktivere understøttelse af SSL 3.0 - protokollen på både klientsiden og serversiden . Nogle ældre klienter og servere understøtter dog muligvis ikke TLS version 1.0 eller nyere. I sådanne tilfælde anbefaler forfatterne af artiklen om POODLE-angreb, at browseren og serveren understøtter TLS_FALLBACK_SCSV [15] mekanismen , som forhindrer angribere i at udnytte sårbarheden [1] .
En anden tilgang til at beskytte mod sårbarheden er implementeringen af "Anti-POODLE record splitting"-mekanismen - opdelingen af data i flere dele, som hver især garanteres ikke at blive angrebet ved hjælp af denne sårbarhed . Problemet med datadelingstilgangen er imidlertid, at på trods af den nøjagtige implementering af mekanismen i overensstemmelse med specifikationen, undgår denne tilgang ikke kompatibilitetsproblemer på grund af mangler på serversiden af mekanismen [16] .
For eksempel, i Opera 25 browseren er denne mekanisme implementeret ud over "TLS_FALLBACK_SCSV" [17] mekanismen . Forskellige versioner af Google Chrome - browsere og relaterede servere understøttede også "TLS_FALLBACK_SCSV"-mekanismen. Mozilla deaktiverede SSL 3.0 -understøttelse i deres Firefox 34- og ESR 31.3-browsere udgivet i december 2014 og understøttede "TLS_FALLBACK_SCSV"-mekanismen i Firefox 35 [18] .
Microsoft har udgivet en sikkerhedsadvisering, der forklarer, hvordan man deaktiverer SSL 3.0 i Internet Explorer og Windows OS [19] .
Apples Safari - browser (til OS X 10.8, iOS 8.1 og nyere) modvirkede POODLE-angreb ved at forælde alle CBC-protokoller i SSL 3.0 , men denne tilgang gav stadig understøttelse af RC4 , som også er modtagelig for RC4-angreb på SSL 3.0 [20 ] . POODLE-angrebssårbarheden blev fuldstændig lukket i OS X 10.11 (El Capitan 2015) og iOS 9 (2015). For at forhindre POODLE-angreb er nogle tjenester (såsom CloudFlare og Wikimedia, for eksempel) blevet deaktiveret for SSL 3.0 [21] .
Network Security Services- bibliotekssættet version 3.17.1 og 3.16.2.3 gav understøttelse af "TLS_FALLBACK_SCSV"-mekanismen [22] [23] , efterfølgende blev understøttelse af SSL 3.0-protokollen deaktiveret som standard [24] . OpenSSL - biblioteker version 1.0.1j, 1.0.0o og 0.9.8zc understøtter "TLS_FALLBACK_SCSV"-mekanismen [25] . I LibreSSL version 2.1.1 er SSL 3.0-understøttelse deaktiveret som standard [26] .
En ny variant af det klassiske POODLE-angreb blev annonceret den 8. december 2014 [3] . Denne type angreb udnytter mangler i implementeringen af CBC- krypteringstilstanden i TLS 1.0 - 1.2 protokollerne. Selvom TLS -specifikationerne kræver , at servere kontrollerer den såkaldte "padding" (et sæt ekstra bit tilføjet til en nøgle , adgangskode eller almindelig tekst ved kryptering for at skjule deres sande værdi), klarer nogle implementeringer af denne protokol ikke med deres korrekte validering, hvilket efterlader nogle servere sårbare over for POODLE-angreb, selvom SSL 3.0 er deaktiveret. Denne type POODLE-angreb er anerkendt som mere farlig end den klassiske på grund af det faktum, at angribere, når de angriber, ikke behøver kunstigt at få kanalbeskyttelsen til at falde tilbage til SSL 3.0, hvilket betyder, at færre operationer er nødvendige for at fuldføre et vellykket angreb . SSL Pulse-projektet opdagede, at "omkring 10% af alle servere er påvirket af TLS POODLE modifikationsangreb", før denne sårbarhed blev annonceret [27] . Denne fejl er blevet tildelt CVE-ID CVE-2014-8730 i F5 Networks' TLS -implementering. Oplysninger fra National Vulnerability Database fra NIST viser, at dette CVE-ID er tildelt til fejlagtige TLS -implementeringer , der kun udføres af F5 Networks. Andre leverandører, der har den samme "padding" implementeringsfejl (såsom A10 og Cisco Systems ) bør udstede deres egne CVE-ID'er ifølge National Vulnerability Database , da deres TLS - versioner ikke fungerer korrekt på grund af en fejl i protokollen, men en fejlagtig implementering af denne protokol [5] .