原文: ROBOT Attack: 19-Year-Old Bleichenbacher Attack On Encrypted Web Reintroduced
作者: Swati Khandelwal
译者: Mengce Zheng
日期: 2024年12月25日
一项存在 19 年的漏洞最近被重新发现,该漏洞出现在至少 8 家不同供应商(包括 F5、Citrix 和 Cisco)的 RSA 实现中,可能使中间人攻击者获得加密消息的访问权限。
这被称为 ROBOT(Return of Bleichenbacher’s Oracle Attack)的攻击,使得攻击者可以利用配置在存在漏洞的 TLS 服务器上的私钥执行 RSA 解密和其他密码学操作。实际上,ROBOT 攻击仅是在旧版 RSA 加密协议中 Bleichenbacher 攻击 的几处细微变种。
该攻击最初于 1998 年被发现,并以瑞士密码学家 Daniel Bleichenbacher 命名的 Bleichenbacher 攻击 是一种基于填充预言机的攻击,主要是针对 SSLv2 中使用的基于 RSA 的 PKCS#1 v1.5 加密方案。
利用 SSL 服务器在处理 PKCS#1 1.5 填充错误时返回的错误信息,通过自适应选择密文攻击,Bleichenbacher 攻击可以帮助攻击者判断解密后的消息是否填充正确。这些信息最终使攻击者能够在不恢复服务器私钥的情况下解密 RSA 密文,从而在使用 RSA 加密的 TLS 中彻底破坏通信的机密性。
“攻击者可以反复查询运行易受攻击 TLS 堆栈实现的服务器,从而执行密码分析操作,这可能使得解密之前捕获的 TLS 会话成为可能。” —— Cisco 在公告中解释道。
1998 年,Bleichenbacher 曾建议升级加密方案,但 TLS 设计者选择保留易受攻击的加密模式,并增加了一系列复杂的对策以防止错误细节泄露。如今,一组安全研究人员发现这些对策并不完善,仅通过一些微小变动,该攻击仍可对许多 HTTPS 网站构成威胁。
“我们修改了相关机制,使其能够通过各种不同信号区分超时、连接重置以及重复 TLS 警报等错误类型,”研究人员表示。 “我们还发现,采用一种简化的消息流程——即在不发送 ChangeCipherSpec 和 Finished 消息的情况下直接发送 ClientKeyExchange 消息——可以发现更多易受攻击的主机。”
研究人员指出,包括 Facebook 和 Paypal 在内的一些最受欢迎的网站均受到该漏洞影响。他们还发现,在 Alexa 排名前 100 的域名中,有 27 个域名存在易受攻击的子域。
ROBOT 攻击正是源于上述仅影响使用 RSA 加密的 TLS 密码模式的实现缺陷,使攻击者能够被动地记录流量并在之后对其进行解密。
“对于通常使用前向保密但仍支持易受攻击 RSA 加密密钥交换的主机,其风险取决于攻击者完成攻击的速度,”研究人员表示。 “我们认为,虽然服务器伪装或中间人攻击是可行的,但实施起来相对更为困难。”
ROBOT 攻击由 Hanno Böck、来自 Ruhr-Universitat Bochum/Hackmanit GmbH 的 Juraj Somorovsky 以及来自 Tripwire VERT 的 Craig Young 共同发现。他们创建了一个专门的网站,详细介绍了该攻击的原理、影响、缓解措施等。
该攻击影响多个供应商的实现,目前部分供应商已发布补丁,更多供应商也在支持说明中确认了这一问题。受影响供应商的完整列表可在 ROBOT 网站上查阅。
此外,研究人员还发布了一个 Python 工具,用于扫描易受攻击的主机。可以在该网站上检测 HTTPS 服务器是否受到 ROBOT 攻击的威胁。
本文为基于AI技术的翻译改写,若需了解详细信息,请参考原文出处。