-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 CAIS-Alerta [10/06/2019]: Vulnerabilidades críticas no protocolo TLS Prezados, O CAIS alerta para as recentes vulnerabilidades críticas encontradas no protocolo TLS. Até o momento da publicação deste alerta, não foram identificados códigos de exploração para as vulnerabilidades em questão. DESCRIÇÃO Um usuário malicioso pode explorar as vulnerabilidades no protocolo TLS e realizar dois tipos de ataques: GoldenDoodle e Zombie Poodle. O ataque GoldenDoodle, permite o roubo de cookies/cabeçalhos em conexões HTTPS e consequentemente o acesso a dados que deveriam ser sigilosos. O GoldenDoodle é uma versão melhorada do ataque que surgiu em 2014 e ficou conhecido como Poodle [1]. Na ocasião a falha explorada era basicamente no protocolo SSLv3 utilizando cifras do tipo CBC e para que o atacante conseguisse decifrar um byte de informação era necessário realizar até 256 requisições contra o alvo. No entanto, nessa nova versão do ataque, um atacante pode decifrar um byte de informação a cada requisição interceptada desde que a comunicação esteja utilizando o protocolo TLS v1.2 e cifras AES ou CBC. Quanto ao ataque Zombie Poodle, este é uma variação do ataque "Poodle 2.0" ou "Poodle TLS". Este ataque permite ao usuário malicioso decifrar o conteúdo da requisição devido a um conjunto de erros na implementação do protocolo TLS 1.x até TLS 1.2, por parte de alguns fabricantes de hardware/software [3][4]. SISTEMAS IMPACTADOS Todos os sistemas que utilizam o protocolo TLS v1.x até TLS v1.2 VERSÕES AFETADAS Protocolo TLS v1.x e Protocolo TLS v1.2 CORREÇÕES DISPONÍVEIS - - Desabilitar completamente todo o suporte a cifras de criptografia CBC - - Verificar a possibilidade de utilizar TLS v1.3 IDENTIFICADORES CVE (http://cve.mitre.org) CVE-2019-6485,CVE-2019-6593 MAIS INFORMAÇÕES [1] https://nvd.nist.gov/vuln/detail/cve-2014-3566 [2] https://github.com/RUB-NDS/TLS-Padding-Oracles [3] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6593 [4] https://nvd.nist.gov/vuln/detail/CVE-2019-6485 [5] https://i.blackhat.com/asia-19/Fri-March-29/bh-asia-Young-Zombie-Poodle-Goldendoodle-and-How-TLSv13-Can-Save-Us-All.pdf [6] https://www.tripwire.com/state-of-security/vert/zombie-poodle/ [7] https://www.tripwire.com/state-of-security/vert/goldendoodle-attack/ [8] https://github.com/Tripwire/padcheck [9] https://blog.qualys.com/technology/2019/04/22/zombie-poodle-and-goldendoodle-vulnerabilities O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os alertas do CAIS também podem ser acompanhadas pelas redes sociais da RNP. Siga-nos! Twitter: @RedeRNP Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP. Atenciosamente, CAIS/RNP ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais@cais.rnp.br http://www.rnp.br/servicos/seguranca # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel https://www.cais.rnp.br/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: OpenPGP.js v2.6.2 Comment: https://openpgpjs.org wsFcBAEBCAAQBQJc/k/mCRB83qA0uPj0mAAA1FMP/iQ3dwRtSvmPjJHnuhA4 BImL0iOU5Amatj2AYqyHQp02dneCvpRZ/h1Xc9iBN+TnubsqJ7LLU/xSoIkz mHfaEBim1j44NxF+mK9Pu8xrYRBnc05GPZKMiigJ+aVYchfgNTChz8VQ3aFG t3l5aKvcIMQOMGMROKhAJP+JyJbPMVZFODO/ovdIvKHXGT+wMX1JNKi5hXeE ob1n/rdNJxSiJNXmh48NR/aSCBT7A1+eKV4DSlGr45vQsWHpqrorWgEyJYaI j5EhPGebRAQov4Egdg+6FEuOD/IQIMj9idPm/kBOH1bf+unuP0wSIcvEc6aO X4bfNQdKLIgV1pIalOzCxSHIR2S5TgX9Xm6je75gZGFObpkRWxnOXR1tUwEt RjArWFAtyMXXiycCThBhPq7RS2Oh6hRVozKHZTGfP8skfGGDz7aKtpEm+tBj JY4+op4NhRdyVzqP8aqDw8uKxOB3sn0rpxdCTie9RGBUF0qu/mzFHa3VP8cK oQz6CLPrxDfbSdd1mwGfgnFowvApvdB2omeIVUZUbZk7s3Jl/Thp4mOou/sK Kd0am3dAmM3g7cKOPgMmM/EFv2x2Lrb4zWy/zMerj9xsE80nvwwxCzUy5Wh2 rVYQsa9BpqM7dIECJHJcu3vzLhC0C6y2mmX6WhaJkSB/7C6dlWiydAtIx076 QD4o =ffM9 -----END PGP SIGNATURE----- _______________________________________________ RNP-Alerta rnp-alerta@listas.rnp.br http://listas.rnp.br/mailman/listinfo/rnp-alerta