POODLE - SSLv3-Schwachstelle auch bei Kommunikation via TLS
Die Vergangenheit holt uns ein – Palo Alto Networks warnt vor SSLv3-Schwachstelle auch bei Kommunikation via TLS
München – 22. Oktober 2014 – Palo Alto Networks, Marktführer im Bereich Enterprise Security, warnt davor, dass das in die Jahre gekommene, bei älteren Servern teilweise noch genutzte Verschlüsselungsprotokoll SSLv3 zum Sicherheitsproblem werden kann. Dies gilt auch bei Verbindungen, die mit dem Nachfolgerprotokoll TLS kommunizieren. Angreifer, die den Netzwerkpfad unter ihre Kontrolle bringen, können dafür sorgen, dass der jeweilige Client oder Server ein Downgrade auf SSLv3 durchführt, wodurch Teile des verschlüsselten Kanals für den Angreifer zu knacken sind.
„Der Ursprung des aktuellen Sicherheitsproblems liegt 15 Jahre zurück. 1999 wurde die TLSv1-Spezifikation veröffentlicht, um SSLv3 zu ersetzen und damit die Sicherheit der Internet-Kommunikation zu verbessern. Seitdem hat TLS weite Verbreitung gefunden, aber SSLv3 ist trotzdem nicht von der Bildfläche verschwunden“, erklärt Thorsten Henning, Systems Engineering Manager Central & Eastern Europe, CISSP, bei Palo Alto Networks. „Die beiden Spezifikationen sind sich zudem sehr ähnlich, aber nicht kompatibel. Anwendungen, die TLS implementieren, sind aber oftmals in der Lage, auf SSL umzuschalten, um Legacy-SSL-Server unterstützen zu können.“
Kryptologen haben das schwindende Sicherheitsniveau von SSL in den letzten zehn Jahren immer wieder aufgezeigt, indem sie Möglichkeiten gefunden haben, um an immer größere Informationsstücke aus verschlüsselten Sitzungen heranzukommen. Diese Woche haben drei Google-Forscher den neuesten Angriff auf SSLv3, benannt als POODLE (Padding Oracle On Downgraded Legacy Encryption), angekündigt, was das Ende dieses Protokolls bedeuten könnte. POODLE ermöglicht einem Angreifer, der bereits in den Netzwerkpfad zwischen Client und Server eingedrungen ist, Teile der SSL-Sitzung, einschließlich HTTP-Cookie-Daten für die Authentifizierung, zu entschlüsseln.
Da alle modernen Browser und die meisten Server TLS unterstützen, sollte ein Angriff dieser Art nur eine kleine Anzahl von Netzwerkverbindungen betreffen. Genau das ist aber nicht der Fall, wie die Experten des Forschungszentrums von Palo Alto Networks zu bedenken geben. Die meisten Browser, die keine Verbindung über TLS aufnehmen können, gehen davon aus, dass der Server nur über SSL kommuniziert und führen daher einen Downgrade ihrer Verbindungen auf das gefährdete Protokoll aus. Das bedeutet, dass ein Angreifer, der den Netzwerkpfad unter seine Kontrolle gebracht hat, sogar zwei TLS-fähige Systeme zwingen kann, SSLv3 zu verwenden. Der Angreifer kann dann Teile des verschlüsselten Kanals entschlüsseln, ohne dass dies am Server oder Client erkennbar ist.
Die einzige dauerhafte Lösung, die Palo Alto Networks empfiehlt, um die POODLE-Sicherheitslücke zu schließen, ist das komplette Deaktivieren des SSLv3-Protokolls. Dies kann entweder auf Server- oder Client-Seite durchgeführt werden, abhängig von den Anwendungen. Um dieses Problem anzugehen, hat das IPS-Team von Palo Alto Networks ein Notfall-Update mit der ID 36815 (Angriffsbezeichnung: „SSLv3 Found in Server Response“, CVE-ID: CVE-2014-3566) herausgegeben, das eine Signatur enthält, die vor jeder SSLv3-Verbindung warnt. Dies bedeutet, dass nicht zwangsläufig jedes Mal ein Angriff im Gange ist, aber jede SSLv3-Sitzung sollte als anfällig für POODLE erachtet werden und könnte möglicherweise beeinträchtigt werden.
Über Palo Alto Networks
Palo Alto Networks ist das führende Unternehmen in einem neuen Zeitalter von Cybersecurity. Die Lösungen von Palo Alto Networks sichern die Netzwerke Tausender großer Unternehmen, Behörden und Service Provider gegen Risiken ab. Im Gegensatz zu fragmentierten Legacy-Lösungen ist die Security-Plattform von Palo Alto Networks in der Lage, den Geschäftsbetrieb sicher zu ermöglichen. Die Lösungen schützen Systeme basierend auf dem, was in aktuellen dynamischen IT-Umgebungen am wichtigsten ist: Anwendungen, Nutzer und Inhalte. Weitere Informationen unter http://www.paloaltonetworks.com
