Hack comme si c'était 1998: des sites encore vulnérables à l'exploit ROBOT relancé



Another week, yet another security bulletin in tech news, with yet another vulnerability that joins the fray of both Intel's meltdown and Western Digital's MyCloud hacks. A team of researchers recently wrote a paper they titled 'Return Of Bleichenbacher's Oracle Threat (ROBOT)'. This paper went on to show how a well-known, circa 1998 exploit is still a viable way to take advantage of websites of even big name companies and services, such as Facebook and PayPal (in total, around 2.8% of the top 1 million sites also tested positive). The ROBOT exploit, a critical, 19-year-old vulnerability that allows attackers to decrypt encrypted data and sign communications using compromised sites' secret encryption key, is still valid. Only, it's 19 years later.

Le cœur du problème provient d'une vulnérabilité découverte en 1998 par le chercheur Daniel Bleichenbacher, qui a découvert la vulnérabilité dans le prédécesseur TLS, connue sous le nom de couche de sockets sécurisés. L'attaque est surnommée une menace Oracle car les attaquants peuvent écrire des requêtes spécialisées auxquelles les sites Web et les systèmes affectés répondent par «Oui» ou «Non»; en tant que tel, il est possible, avec suffisamment de temps, que les attaquants accumulent la quantité d'informations sensibles divulguées et obtiennent une image claire des données protégées. À la découverte de la faille par Bleichenbacher, les architectes SSL ont apparemment répondu d'une manière de type B-film, qui aurait néanmoins pu être nécessaire pour garder tous les systèmes verts: en concevant des solutions de contournement par-dessus les solutions de contournement, plutôt que de supprimer ou de réécrire l'algorithme RSA défectueux.

«Nous avons pu identifier huit fournisseurs et ouvrir
Les projets sources et un nombre important d'hôtes qui étaient vulnérables aux variations mineures de l'attaque de texte chiffré choisie par Bleichenbacher de 1998 '', ont écrit les chercheurs dans leur document de recherche. «Le fait le plus notable à ce sujet est le peu d'efforts qu'il nous a fallu pour le faire. Nous pouvons donc conclure qu'il n'y a pas suffisamment de tests des implémentations TLS modernes pour les anciennes vulnérabilités. Les produits concernés comprennent certains produits par F5, Citrix et Cisco.

'The surprising fact is that our research was very straightforward. We used minor variations of the original attack and were successful. This issue was hiding in plain sight,' the researchers wrote in a blog post. 'This means neither the vendors of the affected products nor security researchers have investigated this before, although it's a very classic and well-known attack.' Sources: Return Of Bleichenbacher’s Oracle Threat (ROBOT) Paper, Robot Attack, via ArsTechnica, via TPU Forums @ user StefanM