Tấn công POODLE là gì?
POODLE là viết tắt của Padding Oracle on Downgraded Legacy Encryption. Đây là một chiến lược tấn công được dùng để đánh cắp thông tin bí mật từ các kết nối được bảo mật bằng giao thức Lớp cổng bảo mật (SSL). Lỗ hổng này cho phép kẻ tấn công nghe lén giao tiếp HTTPS được mã hóa bằng cách dùng giao thức SSL 3.0.
Lỗ hổng POODLE được nhóm nghiên cứu tại Google phát hiện vào 2014 và được gán ID là CVE-2014-3566.
Các máy chủ web dễ bị tấn công POODLE hỗ trợ giao thức SSL 3.0 bất chấp sự ra đời của giao thức Transport Layer Security (TLS) vào năm 1999. Điều này đã mở ra nhiều điểm yếu bảo mật cho người dùng cuối.
SSL và TLS chỉ đơn giản là các giao thức mã hóa giúp bạn xác thực và di chuyển dữ liệu trên internet một cách an toàn. Ví dụ: nếu bạn đang xử lý thanh toán trên một trang web bằng thẻ tín dụng, các giao thức SSL và TLS sẽ giúp bảo mật quá trình xử lý thanh toán để tội phạm mạng không thể lấy được thông tin thẻ tín dụng của bạn.
TLS 1.3, phát hành vào năm 2018, là giao thức chính được sử dụng ngày nay và chưa có lỗ hổng nào được biết đến.
Nhưng các phiên bản cũ hơn của giao thức TLS dễ bị tấn công POODLE. Không may là nhiều chủ sở hữu trang web không nhận thức được điều này.
Giao thức TLS cũ hơn trải qua cái được gọi là tấn công quay ngược phiên bản (version roll-back attack) hoặc tấn công hạ cấp. Kẻ tấn công đánh lừa máy chủ và máy khách để từ bỏ kết nối được mã hóa chất lượng cao (các phiên bản TLS cũ hơn) và sử dụng giao thức chất lượng thấp hơn (SSL) để mã hóa thông tin.
Khi kẻ tấn công thành công, chúng cố gắng chặn thông tin bằng cách khai thác các điểm yếu trong giao thức SSL cũ hơn.
Tại sao các máy chủ web lại vẫn hỗ trợ các giao thức cũ? Có thể quản trị viên của các máy chủ đó muốn đảm bảo người dùng có thể truy cập máy chủ web bằng các trình duyệt cũ. Hoặc cũng có thể các trang web chưa được vá lỗi và được định cấu hình kém.
Tấn công POODLE nguy hiểm như thế nào?
Tấn công POODLE đặt ra mối đe dọa cho các cá nhân, tổ chức doanh nghiệp và những người dùng khác truyền dữ liệu nhạy cảm online. Lỗ hổng này cho phép kẻ tấn công can thiệp với tư cách là người trung gian giữa máy khách và máy chủ, sau đó mã hóa thông tin liên lạc.
Sau khi kẻ tấn công có quyền truy cập vào thông tin này, chúng có thể đánh cắp dữ liệu nhạy cảm đã bị lộ bao gồm cookie phiên, mật khẩu hoặc chi tiết đăng nhập và tiếp tục dùng dữ liệu đó để mạo danh người dùng.
Điều này có thể gây ra những hậu quả lớn như người dùng mất tiền hoặc mất quyền kiểm soát trang web của họ. Các doanh nghiệp có thể bị đánh cắp dữ liệu và mất tài sản trí tuệ của tổ chức.
Tấn công POODLE hoạt động như thế nào?
Tấn công POODLE không phải lúc nào cũng dễ thực hiện. Yêu cầu chính ở đây là kẻ tấn công lừa bạn gửi một yêu cầu ngẫu nhiên đến máy chủ, khiến máy chủ quay trở lại các giao thức cũ như SSL 3.0.
Trước hết, kẻ tấn công lừa bạn gửi yêu cầu trên máy chủ trang web hỗ trợ giao thức TLS 1.0. Khi bạn đã gửi yêu cầu bằng trình duyệt, kẻ tấn công sẽ ngắt kết nối bảo mật giữa trình duyệt của bạn và máy chủ. Điều này dẫn đến việc bạn tải lại yêu cầu và trình duyệt quay lại sử dụng giao thức dễ bị tấn công hơn (SSL 3.0) để thiết lập lại kết nối.
Lúc này, kẻ tấn công tiếp tục khai thác điểm yếu trong giao thức SSL 3.0. Để thực hiện thành công việc này, tin tặc phải ở trên cùng một máy chủ trang web hoặc mạng của bạn. Chúng phải biết cách thực hiện các cuộc tấn công JavaScript độc hại để thực hiện thành công điều này.
Làm thế nào để tự bảo vệ khỏi các cuộc tấn công POODLE?
Cách nhanh nhất để tự bảo vệ bạn trước các cuộc tấn công POODLE là tắt hỗ trợ SSL 3.0 trong máy chủ và trình duyệt web của bạn. Tuy nhiên, nếu bạn tắt giao thức SSL 3.0 trên máy chủ web, một số trình duyệt cũ có thể không kết nối được với máy chủ.
Và nếu tắt SSL trên trình duyệt, bạn có thể không kết nối được với một số máy chủ web chỉ hỗ trợ phiên bản SSL. Bạn nên đảm bảo rằng hệ thống của mình được cập nhật để cho phép nó hỗ trợ các giao thức mới và an toàn hơn.
Khi sử dụng phiên bản TLS, TLS 1.3 mới hơn thì sẽ tốt hơn là các giao thức TLS cũ dễ bị tấn công.
Các nhà nghiên cứu tại Google đã phát hiện ra lỗ hổng POODLE đề xuất một giải pháp tạm thời: sử dụng TLS_FALLBACK_SCSV. Đây là cơ chế giúp khắc phục sự cố do người dùng thử lại kết nối không thành công, đồng thời ngăn kẻ tấn công kích hoạt trình duyệt sử dụng giao thức SSL 3.0. Nó cũng hướng dẫn chống lại các cuộc tấn công hạ cấp từ TLS 1.2 xuống TLS 1.1 của giao thức TLS.
Hiện tại, Google Chrome và các máy chủ của nó hỗ trợ giao thức TLS, trong khi các trình duyệt web nguồn mở và miễn phí như Mozilla Firefox và Opera Mini đã thực hiện các biện pháp bảo mật tương tự để chống lại tấn công POODLE.
Ngăn chặn tấn công POODLE
Tấn công POODLE là một lỗ hổng lớn mà mọi người dùng internet đều dễ mắc phải. Để chống lại nó một cách hiệu quả, bạn phải chủ động thắt chặt bảo mật của máy chủ web và trình duyệt của mình trước đó.
Giao thức SSL 3.0 cần phải được tắt từ cả hai đầu. Nếu trang web của bạn vẫn hỗ trợ các trình duyệt cũ, thì đồng nghĩa với việc bạn đang đặt toàn bộ mạng của mình vào tình thế nguy hiểm. Bởi vậy, bạn cần cập nhật các phiên bản giao thức mới hơn.
Các trình duyệt nguồn mở như Google Chrome, Microsoft và Mozilla Firefox hiện đang chặn quyền truy cập vào các trang web sử dụng giao thức TLS 1.0 và TLS 1.1 cũ hơn. Nếu không di chuyển cùng thời đại, bạn sẽ bị bỏ lại phía sau.
Vân Nguyễn
Dịch từ: https://www.makeuseof.com/what-is-the-poodle-attack/
Bình luận (0
)