OpenSSL的CVE-2016-2107漏洞仍旧影响着许多Alexa顶级网站

据安全公司High-Tech Bridge所说,Alexa排名前10000的网站中有许多仍然存在OpenSSL的CVE-2016-2107漏洞。

CVE-2016-2107漏洞对于开源加密库的影响可以被用来进行中间人攻击。只要用于连接的是AES CBC密码和支持AES NI的服务器,那么攻击者就可以利用“ Padding Oracle攻击”解密HTTPS通信。

据专家介绍,自从2013年以来这个漏洞就一直在影响着OpenSSL加密库,当时项目维护人员修复了另一个被称为幸运13的 Padding Oracle攻击。

OpenSSL公布的说明中这样说,“只要网络连接采用的是AES CBC密码和支持AES NI的服务器,那么MITM攻击者就可以使用padding oracle攻击解密通信。在当时对幸运13padding攻击(CVE-2013-0169)进行修复的时候也考虑到了这个问题。填充审核代码会定期重写,以确保每次读取的都是相同字节,并且将其与MAC和填充字节进行比较。但是没有再检查是否有足够的数据来承载MAC和填充字节。”

5月初发布了1.0.2h和1.0.1t版本之后,风波暂时平息了。但是安全公司 High-Tech Bridge进行的一项分析显示,Alexa的排名前10000的网站中还有很多存在着漏洞。

High-Tech Bridge在发表的博客中写道,“不幸的是出于兼容性考虑, TLS 1.2 RFC 要求、 NIST 推荐使用的都是AES CBC密码。该密码也被认为是TLS1.0和TLS1.1的最佳选择。”

专家们对Alexa访问量排名前10000的网站、电子商务和社交平台进行了一次快速、非侵入性的研究,查找可能存在的OpenSSL CVE2016-2107漏洞。

研究人员使用的是一种免费的SSL/TLS服务器测试工具,该测试工具的设计初衷就是为了自动化搜索CVE2016-2107漏洞。

“我们使用这种免费的SSL/TLS服务器测试工具对Alexa名单中的每一家公司都进行了下列自动化检查:”

 · 网站HTTPS测试(443端口)

 · 邮件服务器SSL、TLS和STARTTLS测试(主机/端口):

mail.company.com 25, 110, 143, 465, 587, 993, 995 

imap.company.com 143, 993 

pop.company.com 110, 995 

pop3.company.com 110, 995 

smtp.company.com 25, 465, 587 

检查结果令人担忧,许多网站都易受到MITM攻击,与1829家顶级网站(占比18.29%)相连的网络和邮件服务器都是脆弱易感的。

“令我们吃惊的是,相当一部分互联网中最受欢迎的资源都是脆弱的。下面是调查结果:”

· 不脆弱的:6258(62.58%)

 · 不易感的:1913(19.13%)

 · 脆弱且易感的:1829(18.29%)

分析中还写道,“令人十分沮丧的是,这种漏洞很有可能会在实际中被利用来窃取用户数据、凭据、财务和个人信息。”

可以使用SSL/TLS服务器测试工具对自己的服务器进行CVE-2016-2107测试。