Phát hiện lỗ hổng tấn công DoS trong thư viện OpenSSl

Hãng phát triển OpenSSL vừa thực hiện vá một số lỗ hổng trong thư việc lập trình mã hóa, trong đó có một lỗi nghiêm trọng có thể thực hiện tấn công từ chối dịch vụ Denial-of-service (DoS)

OpenSSL là một thư viện mã hóa mã nguồn mở được sử dụng rộng rãi giúp bảo vệ các kể nối Internet thông qua Secure Sockets Layer (SSL) hay Transport Layer Security (TLS) ở hầu hết các trang web cũng như các dịch vụ an toàn khác.

Lỗ hổng này xuất hiện từ phiên ban OpenSSL 1.0.1, 1.0.2, 1.1.0 và các phiên bản vá như 1.1.0a, 1.0.2i và 1.0.1u.

Theo OpenSSL, lỗ hổng có thể được khai thác bằng cách gửi một lượng lớn Request OCSP Status đến máy chủ đích trong quá trình thực hiện “thỏa thuận” (Negotiations) gây ra tràn bộ nhớ.

Giao thức OCSP là gì?

OCSP (Online Certificate Status Protocol), có trong tất cả trình duyệt hiện này, là giao thức thực hiện xác thực và nhận tình trạng thu hồi của các chứng chỉ số được đính kèm vào các website.

OCSP bao gồm thành phần người dùng và máy chủ. Khi ứng dụng hoặc trình duyệt thực hiện xác thực chứng chỉ SSL, người dùng sẽ gửi Request đến phía phản hồi thông qua giao thức HTTP, sau đó trả về tình trạng của chứng thư có hợp lệ hay không.

Theo Shi Lei, chuyên gia nghiên cứu bảo mật công ty Qihoo 360, lỗ hổng cũng ảnh hưởng đến các máy chủ cấu hình mặc định ngay cả khi các máy chủ này không hỗ trợ OCSP.

“Kẻ tấn công có thể sử dụng TLS extension “TLSEXT_TYPE_status_request” và thêm trường OCSP ids và thực hiện lại thỏa thuận liên tục”

“Theo lý thuyết, kẻ tấn công có thể thực hiện thỏa thuận liên tục đến máy chủ làm cho bộ nhớ tăng liên tục theo cấp số nhân 64k.”

Làm thế nào để ngăn chặn tấn công DoS OpenSSL

Các nhà quản trị có thể giảm thiểu cuộc tấn công bằng cách thực thi ‘no-ocsp’. Ngoài ra, máy chủ sử dụng phiên bản OpenSSL trước 1.0.1g không bị lỗi trong cấu hình mặc định.

Một lỗ hổng bảo mật mức độ trung bình (CVE-2016-6305) cũng liên quan đến tấn công từ chối dịch vụ được sửa lại trong bản vá được công bố.

Đội ngũ chuyên viên đã thực hiên vá tổng cộng 12 lỗi bảo mật mức độ thấp ở phiên bán OpenSSL mới nhất nhưng hầu hết chúng lại không ảnh hưởng đến phiên bản 1.1.0.

Một điều cần lưu ý, OpenSSL sẽ ngừng hỗ trợ phiên bản 1.0.1 vào hết năm nay, vì thế người dùng sẽ không nhận được các bản cập nhật bảo mật bắt đầu từ năm sau 2017. Vì thế người dùng cần phải nâng cấp phiên bản để tránh các vấn đề bảo mật khác.

Tags:

Leave a Reply

Your email address will not be published. Required fields are marked *