O SSL, um padrão adotado por muitos, mas com vida além da conta, teve claramente um ano muito difícil. Depois do Heartbleed, Poodle e muitas outras vulnerabilidades de alto perfil, temos o FREAK (Factoring attack on RSA-EXPORT Keys) que, no momento da publicação nesse blog, quebra aproximadamente 36% de todos os sites confiáveis por navegadores de acordo com esse link, inclusive os sites da NSA e do FBI. Cerca de 12% dos sites no topo do ranking da Alexa também estão vulneráveis à falha, colocando as pessoas que os visitam em risco.
Exposição e Impacto
A vulnerabilidade, descoberta por Karthikeyan Bhargavan, da INRIA de Paris, e a equipe mitLS, pode ser usada por hackers através de um ataque man-in-the-middle, reduzindo a encriptação de uma conexão entre um cliente vulnerável e um servidor que aceita chaves RSA-EXPORT para 512 bits. A chave, depois de capturada, pode ser fatorada em apenas algumas horas usando a nuvem pública e depois usada para decodificar comunicações entre o cliente e servidor. Com a chave comprometida, qualquer informação pessoal pode ser acessada, como senhas e informações financeiras.
A origem da vulnerabilidade está nas restrições à exportação de criptografia adotada pelo governo dos EUA nos anos 90. Essas restrições foram atenuadas desde então, mas os backdoors de criptografia fraca ainda existem em alguns softwares. No início dos anos 90, um invasor precisava de recursos fora do seu alcance para quebrar a chave de 512-bits. Hoje, com computadores muito mais potentes disponíveis a preços muito mais acessíveis, é muito mais fácil quebrar a encritpação 512-bit. Mais uma vez, a criação de backdoors para facilitar acesso às comunicações fracassou e tem repercussões sérias para a segurança na Internet.
Os servidores e clientes vulneráveis são aqueles que oferecem um conjunto RSA_EXPORT ou utilizam uma versão de OpenSSL vulnerável ao CVE-2015-0204, o identificador CVE para a vulnerabilidade SSL FREAK.
Mitigação
OpenSSL emitou um patch para resolver essa vulnerabilidade em desde janeiro de 2015. Vários fornecedores estão no processo de divulgar patches para a vulnerabilidade. A aplicação dos patches é altamente recomendada quando disponibilizados.
Os pesquisadores da Websense ainda não encontraram qualquer exploração ativa dessa vulnerabilidade no momento da publicação desse blog, mas os ataques man-in-the-middle são frequentemente usados para realizar ataques direcionados contra jornalistas e visitantes internacionais de alto perfil, além de invasores oportunistas.
O Websense Security Labs continuará monitorando a situação e fornecendo updates conforme o necessário.
Sobre a Websense, Inc.
Websense, Inc. é íder global na proteção das organizações contra ataques cibernéticos avançados e roubo de dados. As soluções de segurança abrangentes Websense TRITON unificam a segurança Web, de email, mobilidade e a prevenção de perda de dados (DLP) com o menor custo total de propriedade. Mais de 11.000 empresas dependem da inteligência de segurança Websense TRITON para evitar as ameaças persistentes avançadas, ataques direcionados e malware em evolução. Websense impede violações de dados, roubo de propriedade intelectual e reforça a conformidade de segurança e as melhores práticas. Uma rede global de parceiros de canal distribui soluções Websense TRITON escaláveis e unificadas para implementação em dispositivos locais ou em nuvem.