数十年的密码漏洞又回来了

使用加密产品和服务的加拿大组织的安全团队应该联系他们的供应商，看看他们的服务器是否存在RSA加密漏洞，这个漏洞已经存在了近20年，并且已经被遗忘了。

研究人员本周创建了一个网站，详细介绍了这一漏洞——他们称之为“机器人”——可能易受攻击的网站包括贝宝(PayPal)和Facebook，而使用思科系统(Cisco Systems)、F5 Networks、Citrix等公司某些产品的组织也可能易受攻击，除非使用打过补丁的oruse解决方案。有些产品，如思科停产的ACE(应用控制引擎)可能不会被修补。

事实上，思科告诉研究人员，ACE将不会更新。尽管它已经过时了，但研究人员在互联网上搜索后发现，许多主机仍在使用ACE。研究人员说，在产品中禁用RSA是一个选项，但对ACE来说不是，因为它不支持另一个密码套件。思科和其他公司已经发布了警告或补丁。

ROBOT代表着“布莱肯巴赫神谕威胁的回归”。在这种情况下，“Oracle”并不是指数据库公司，而是指它可以揭示可以用于攻击的信息。在1998年，Daniel Bleichenbacher发现SSL服务器为使用RSA加密和PKCS #1 1.5填充的产品中的错误提供的错误消息允许一种自适应选择的密文攻击。这种攻击完全破坏了web加密中使用的TLS(传输层安全)协议的机密性。新的是，研究人员发现，通过使用一些细微的变化，这个漏洞仍然可以在今天的互联网上对许多HTTPS主机使用。

研究人员在描述问题的严重性时表示:“对于那些脆弱的、只支持RSA加密密钥交换的主机来说，这是非常糟糕的。”这意味着攻击者可以被动地记录流量，然后对其解密。对于通常使用前向保密，但仍然支持脆弱的RSA加密密钥交换的主机，风险取决于攻击者执行攻击的速度。

研究人员补充说，服务器模拟或中间人攻击是可能的，“更具挑战性”。

研究人员指出，大多数现代TLS连接使用的是椭圆曲线的Diffie Hellman密钥交换，只需要RSA进行签名。然而，他们认为RSA加密模式风险太大，如果不能使用补丁，唯一安全的做法就是禁用它们。“禁用RSA加密意味着所有以TLS_RSA开头的密码。它不包括使用RSA签名的密码，并在其名称中包含DHE或ECDHE。这些密码没有受到我们攻击的影响。”

研究人员表示，根据一些初步数据，禁用RSA加密模式的兼容性成本相对较低。

请注意，此攻击无法恢复易受攻击的服务器的私钥。它只允许攻击者解密密文或使用服务器的私钥签署消息

位于华盛顿特区的新签名公司(New Signature)产品执行副总裁布莱恩•伯恩(Brian Bourne)表示:“这次机器人攻击再次证明，对这类新闻进行监控并迅速做出反应是多么重要。的解决方案提供商。“即使你花了很多精力建立一个最佳实践环境，你仍然会发现自己像昨天的Facebook一样容易受到攻击。这里真正的教训是迅速做出反应并保护自己(就像Facebook已经做的那样)。而那些发现自己在几周后仍然脆弱的人，将被滥用为利用这一点的工具，因为更容易获得和传播。”

至于为什么这个问题仍然存在，研究人员指出，在Bleichenbacher最初的攻击之后，TLS的设计者决定最好的解决方案是保留易受攻击的加密模式并添加应对措施。然而，后来的研究表明，这些对策是不完整的，导致TLS设计者添加了更复杂的对策，没有得到正确的实施。