حفره‌ی تازه وصله شده‌ی OpenSSL هنوز وب‌گاه‌های رده ‌بالا را تهدید می‎کند!

   
نام نویسنده:
|
دسته بندی:
|
وصله یک آسیب‎پذیری OpenSSL اوایل ماه می با نسخه‌های ۱.۰.۲h و ۱.۰.۱ منتشر شد، اما این آسیب‎پذیری هنوز در بسیاری از وب‌گاه‌ها با بیشترین آمار بازدید، وصله نشده است و ترافیک‌های حساس را در معرض حملات مرد میانی (MitM) قرار می‌دهد.

هفته گذشته، شرکت امنیتی High-Tech Bridge از برنامه‌ی رایگان آزمایش SSl/TLS خود استفاده کرد تا مشخص کند چه تعداد از ۱۰,۰۰۰ وب‌گاه Alexa Top  هنوز در معرض آسیب‎پذیری OpenSSl با نام CVE-۲۰۱۶-۲۱۰۷ هستند.

این حفره در سال ۲۰۱۳ به عنوان بخشی از وصله برای حمله TLC با نام «Lucky ۱۳» معرفی شد. در ماه آوریل جوراج سوموروفسکی متوجه شد که یک مهاجم MitM برای رمزگشایی ترافیک در مواردی که اتصالات از یک رمزنگاری AES CBC استفاده می‌کند و کارگزار از دستورالعمل‌های AES-NI پشتیبانی می‌کند، می‌تواند حمله‌ی padding oracle صورت دهد.

این شرکت امنیتی در وبلاگش نوشت: «خبر بد اینکه به دلایل تطابق‎پذیری‌، نیازمندی توسط TLC ۱.۲ RFC و پیشنهاد آن توسط راهنمایی‌های NIST، پشتیبانی از رمزنگاری AES-CBS به شدت توصیه شده است».

شرکت High-Tech Bridge به Security Week گفت که با جستجوی استفاده از AES CBC و با استفاده از یک کد OpenSSL که مخصوص بررسی حضور CVE-۲۰۱۶-۲۱۰۷ طراحی شده است، توانسته ۱۰۰۰۰ وب‌گاه Alexa Top را به صورت خودکار و قانونی بررسی کند.

این بررسی نشان داد که یا وب یا کارگزار‌های رایانامه همراه با تعداد ۱۸۲۹ (۱۹.۲۹ درصد) وب‌گاه‌ هم آسیب‎پذیر و هم قابل استفاده (البته سوءاستفاده) هستند. محققان نشان دادند که ۶۲ درصد کارگزارها (۶۲۵۸ وب) آسیب‎پذیر نیستند و ۱۹ درصد (۱۹۱۳ وب) آسیب‌پذیرند اما قابل استفاده نمی‌باشند.

محققان خاطر نشان کردند که: «با توجه به اینکه این آسیب‎پذیری‌ها می‌توانند در عمل مورد سوءاستفاده قرار گیرند و باعث سرقت اطلاعات، اعتبارات و اطلاعات شخصی و مالی کاربران شوند، بنابراین چنین نتایجی بسیار ناامید کننده است».

محققانی که می‌خواهند بدانند که آیا وب یا کارگزار رایانامه‌شان در معرض خطر است یا خیر می‌توانند از برنامه رایگان آزمایش SSL/TLS استفاده کنند.

منبع: وب‌گاه اخبار امنیتی فن‌آوری اطلاعات و ارتباطات

اخبار مرتبط

دیگر اخبار نویسنده

ارسال نظر


شخصی سازی Close
شما در این صفحه قادر به شخصی سازی نمیباشید