Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

POODLE: a rischio anche il protocollo TLS

poodle  TLS   venerdì, 12 dicembre 2014

Dalle analisi di alcuni ricercatori, molti siti web, tra cui anche siti di importanti aziende, sembrano essere affetti da vulnerabilità che consentono di attaccare il Transport Layer Security (TLS), il protocollo di crittografia per la sicurezza della trasmissione di uso corrente.

Gli attacchi sono una variante del più noto POODLE (Padding Oracle On Downgraded Legacy Encryption), che sfruttava una vulnerabilità di SSL (Secure Sockets Layer), protocollo di crittografia predecessore di TLS. POODLE consentiva agli attaccanti, per esempio, il monitoraggio del traffico relativo ad hotspot Wi-Fi o ad altre connessioni Internet non protette, decifrando il traffico HTTPS crittografato utilizzando la versione SSLv3. Il problema di sicurezza poteva essere risolto inibendo l’uso di SSLv3 lato client (come fatto, per esempio, con le ultime versioni dei browser più diffusi: Chrome 39 inibisce il fallback ad SSL 3.0, Firefox 34 ne rimuove completamente il supporto) e/o lato server.

Negli ultimi giorni è emerso, però, che esiste una variante di POODLE che riesce ad attaccare anche alcune implementazioni molto diffuse di TLS. Il fenomeno è tuttora in fase di approfondimento, ma è già disponibile un servizio gratuito online fornito dalla società di sicurezza Qualys che consente di analizzare le principali vulnerabilità di un server.

Al momento si ritiene che l’uso di versioni inferiori a TLS 1.2 con tecniche di cifratura AEAD (Authenticated Encryption with Associated Data) siano potenzialmente vulnerabili.

Notizie correlate

ROBOT Attack: vulnerabilità multiple in implementazioni del protocollo TLS

14 dicembre 2017

Sono state scoperte debolezze in alcune implementazioni del protocollo TLS che possono portare alla compromissione della chiave privata di cifratura RSA di un server TLS. Leggi tutto

Apple rimuove alcune app dall’App Store che installano certificati CA di Root

13 ottobre 2015

Apple ha rimosso dall'App Store alcune applicazioni non specificate che installano certificati CA di Root che potrebbero consentire il monitoraggio del traffico.Leggi tutto

Nuova vulnerabilità di SSL 3.0 – Poodle

15 ottobre 2014

Alcuni ricercatori hanno scoperto una vulnerabilità in SSL 3.0, software di crittografia obsoleto ma ancora largamente in uso. SSL (Secure Sockets Layer) 3.0, software che consente comunicazioni cifrate tra client e server via internet in modalità HTTPS, …Leggi tutto