De fout POODLE keert terug, dit keer raakt het TLS-beveiligingsprotocol

Webmasters die zijn gepatcht hun sites tegen een ernstige SSL-fout ontdekt in oktober zullen ze opnieuw moeten controleren. Onderzoekers hebben ontdekt dat het beveiligingslek ook gevolgen heeft voor de implementaties van het nieuwere TLS-protocol (Transport Layer Security).

Het beveiligingslek POODLE (Padding Oracle On Downgraded Legacy Encryption) stelt aanvallers in staat verkeer te onderscheppen tussen de browser van een gebruiker en een HTTPS-verbinding (HTTP Secure) website om gevoelige informatie te ontsleutelen, zoals de authenticatiecookies van de gebruiker. Aanvankelijk dachten onderzoekers dat het alleen SSL 3.0 beïnvloedde, een verouderingsprotocol vervangen door TLS 1.0, 1.1. en 1.2. Dat brengt gebruikers nog steeds in gevaar, omdat de meeste browsers en servers SSL 3.0 nog steeds ondersteunen vanwege redenen van achterwaartse compatibiliteit. Aanvallers konden een verbinding downgraden van TLS naar SSL en vervolgens het beveiligingslek misbruiken.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

Beveiligingsonderzoekers hebben nu ontdekt dat het probleem ook van invloed is op sommige implementaties van TLS in producten die de structuur van de "opvulling" die in TLS-pakketten wordt gebruikt niet goed controleren.

Het probleem was het eerst waargenomen in oude versies van Mozilla's NSS (Network Security Services), de cryptografische bibliotheek die in Firefox en andere producten wordt gebruikt , maar Google beveiligingsingenieur Adam Langley bouwde een scanner om te achterhalen of andere producten werden getroffen.

Hij ontdekte dat sommige belangrijke sites kwetsbaar waren, en het bleek te zijn omdat ze load balancers van F5 Networks en A10 Networks gebruikten om de TLS-verbindingen afhandelen.

"F5 heeft patches voor hun producten gepost en A10 zou vandaag updates moeten publiceren", zei Langley maandag in een blogpost. "Ik ben er niet helemaal zeker van dat ik elke betrokken leverancier heb gevonden, maar nu dit probleem openbaar is, moeten alle andere betrokken producten snel aan het licht komen."

Volgens Ivan Ristic, die de SSL Labs beheert bij beveiliging Qualys, leverancier, ongeveer 10 procent van de servers die worden gemonitord door het SSL Pulse-project zijn kwetsbaar voor POODLE-aanvallen via TLS. Het SSL Pulse-project bewaakt de HTTPS-ingeschakelde sites in de lijst met de top 1 miljoen meest bezochte sites gepubliceerd door internetstatistiekenbedrijf Alexa - ongeveer 151.000 sites in november.

Website-beheerders die willen controleren of hun servers of load balancers zijn gebruikt vóór hun servers - kwetsbaar zijn, kunnen de Qualys SSL Labs-servertest gebruiken, die is bijgewerkt om het probleem te detecteren.

"Als het kwetsbaar is, past u de patch toe die door uw leverancier is geleverd," zei Ivan Ristic in een blogpost . "Naarmate het probleem zich voordoet, zou deze probleemloos moeten kunnen worden opgelost."