De POODLE-aanval (CVE-2014-3566)
Na een week van aanhoudende geruchten kwam uiteindelijk op 14 oktober de nieuwe kwetsbaarheid in SSL 3 naar buiten. De zogenaamde POODLE-aanval is een probleem in het CBC-encryptieschema dat in het SSL 3-protocol is geïmplementeerd. (Andere protocollen zijn niet kwetsbaar, omdat dit gebied is versterkt in TLS 1.0.) Qua concept is deze kwetsbaarheid sterk verwant aan het BEAST-exploit van 2011. Om succesvol gebruik te kunnen maken van de POODLE-kwetsbaarheid is het nodig dat een aanvaller kwaadaardige JavaScript injecteert in de browser van een slachtoffer. Ook moet de aanvaller versleuteld netwerkverkeer ‘on the wire’ kunnen bekijken en manipuleren. Binnen de groep van Man in the Middle-aanvallen (MITM) is POODLE gecompliceerd, maar weer gemakkelijker uit te voeren dan BEAST, omdat je geen speciale browser-plug-ins nodig hebt. Meer details zijn te vinden in dit beknopte paper of in deze blogpost van Adam Langley.
Hoe verder?
POODLE is een kwetsbaarheid op protocolniveau die niet gemakkelijk is op te lossen. Je zou het kunnen proberen met de manier die voor BEAST is gebruikt, maar het lijkt erop dat browserleveranciers niet geïnteresseerd zijn in die benadering. Adam Langley schrijft dat Chrome het niet in die richting gaat zoeken. Firefox zegt dat zij SSL 3 in Firefox 34 gaan uitschakelen. Dat is goed nieuws. We worstelen nog wel eens met het afscheid nemen van oude protocollen. Aangezien SSL 3 niet veel wordt gebruikt en POODLE serieus genoeg is, ziet het ernaar uit dat we snel afscheid kunnen nemen van deze protocolversie. Sommige CDN’s hebben het al uitgeschakeld.
Wat moet je doen?
Je kunt op twee manieren naar dit probleem kijken. Als gebruiker wil je jezelf beschermen tegen aanvallen. De beste manier om dat te doen is door SSL 3 in je browser uit te schakelen. (Instructies hiervoor zijn heel gemakkelijk online te vinden.) De geüpdatete SSL Labs Client Test geeft aan dat het gelukt is.
Ben je een website-operator, dan moet je SSL 3 zo snel mogelijk uitschakelen op de servers. Dat moet zelfs als je de meest recente TLS-versie ondersteunt, omdat een actieve MITM-hacker een browser kan dwingen de connecties te downgraden naar SSL 3, waarna ze te misbruiken zijn. Bij normaal gebruik van de meeste sites heb je SSL 3 niet nodig. Internet Explorer 6 op Windows XP is potentieel het grootste gebruikerssegment dat nog vertrouwt op SSL 3. Opties zijn om een gebruiker te instrueren om TLS 1.0 handmatig aan te zetten (IE6 ondersteunt dit, alleen niet standaard) of om te upgraden naar een andere browser. Op de korte termijn zijn de risico’s van POODLE te verminderen door het gebruik van CBC-suites met SSL 3 te vermijden. Maar dan ben je afhankelijk van een onveilige encryptiemethodiek waarvan niemand de naam wil noemen. Ik raad die benadering af.
POODLE zou niet zo serieus zijn als het niet de mogelijkheid in zich had om moderne browsers te downgraden naar SSL 3. Er is een oplossing voor dit probleem via de TLS_FALLBACK_SCSV-indicator die ondersteund moet zijn door clients en servers, wil hij effectief zijn. Google implementeerde deze mogelijkheid in februari 2014 (in Chrome en in hun websites) en maakt er sindsdien succesvol gebruik van. Volgens Mozilla zal Firefox de indicator vanaf begin 2015 ondersteunen. Een nieuwe versie van OpenSSL is net vrijgegeven en omvat ondersteuning voor de SCSV. De ondersteuning is mogelijk te backpoorten naar verschillende Linux-distributies. Om de beste resultaten mogelijk te maken, moet de ondersteuning ook uitgebreid worden naar andere grote browsers. Wanneer dat gebeurd is, zal de aanvalskracht van POODLE een stuk kleiner zijn en alleen effectief zijn bij gebruikers met oudere browsers.
Voor een gedetailleerd overzicht van hoe je SSL 3 uitschakelt op servers en in browsers, verwijs ik naar de blogpost van Scott Helme. Qualys-klanten kunnen hier terecht voor informatie over het configureren van rapporten met een overzicht van systemen die SSL 3 gebruiken.
Ivan Ristic, Qualys
