Kritik: Saldırganlar TLS ile korunan iletişimin gizliliğini tehlikeye düşürerek iletişimi dinleyebilir ya da iletişime müdahale edebilir.
YÖNETİCİ ÖZETİ
Diffie-Hellman anahtar değişimi pek çok İnternet protokolünün paylaşılan anahtar belirlenmesi için kullandığı artık standart hale gelmiş popüler bir kriptografik algoritmadır. HTTPS, SSH, IPSec, IMAPS, SMTPS gibi TLS tabanlı protokollerin pek çoğuna zemin teşkil eder. Web tarayıcısı, sunucusu gibi TLS kullanan tüm yazılımların konfigürasyonlarının güncellenmesi gerekmektedir; pek çok durumda yazılım güncellemesi gerekmeyecektir.
TEHDİT TEKNİK DETAYLARI
Araştırmayı yürüten ekip Diffie-Hellman anahtar değişiminin algoritması ile ilgili değil ama sahadaki kullanımı ile ilgili iki önemli güvenlik problemi tespit etmiştir.
İlk problem Logjam adını verdikleri saldırının gerçekleştirilebilir olmasıdır. Örnek uygulaması buradadır. Saldırgan, istemci ve sunucu arasına girerek iki tarafı 512 bit ihraca uygun (export grade) şifreleme kullanmaya zorlayabilmekte (downgrade) ve sonrasında makul hesaplama gücüne sahip bilgisayarlar ile iletişimi dinleyebilmekte ya da değiştirebilmektedir. Tüm modern web tarayıcıları ve en çok ziyaret alan 1Milyon sitenin %8'i doğrudan etkilenmektedir.
İkinci problem ise pek çok sunucu yazılımının Diffie-Hellman anahtar değişimi için aynı asal sayıları kullanmasıdır. Her bağlantıda anahtar-değişimi mesajlarının yeniden üretilmesinin yeterli olduğuna inanılırdı ancak araştırmayı yürüten ekip bunun yeterli olmadığını 512 bit'lik anahtarlar için gösterdi. Ekibin iddiası bir ulus devletin rahatlıkla en popüler 1024 bitlik şifrelemeleri dahi kırabileceği yönünde. Hatta sızan NSA belgelerinde tariflenen VPN bağlantılarını kırma faaliyetlerinin bu zafiyetten kaynaklı olduğunu değerlendiriyorlar.
Teknik raporun ayrıntısına buradan erişebilirsiniz.
ETKİLENEN SİSTEMLER
Tüm web tarayıcıları (üreticilerin tümü güncelleme yayınladı/yayınlıyor)
TLS tabanlı hizmet işleten tüm sunucular
Sunucularınızı buradaki uygulama ile test edebilirsiniz.
ÖNLEM
Sunucular için yapılması gerekenler burada tariflenmiş durumda. Temel olarak ihraç seviyesi algoritmaları iptal etmeniz, Diffie-Hellman yerine ECDHE algoritmasını kullanılır duruma getirmeniz ve ECDHE için güçlü bir grup oluşturtmanız gerekecektir.
Web tarayıcılarının güncellenmesine ihtiyaç var.
Venom Zafiyeti Bulut Bilişime Bomba Gibi Düştü
CrowdStrike araştırmacıları Venom adını verdikleri yeni bir QEMU zafiyeti keşfettiklerini duyurdu. Zafiyet, QEMU bazlı sanallaştırma kullanan tüm bulut hizmet sağlayıcılarını ve kullanıcılarını etkiliyor. Bu zafiyeti kullanan bir saldırgan sanallaştırma platformunun altındaki hipervizör işletim sistemine erişip komut çalıştırabilir durumda olacaktır. Bunun başarılması durumunda sanal makinalar arası izolasyon da söz konusu olmayacağından olası bir saldırının etkisi çok büyüktür.
Venom için yapılan sitede zafiyetin kimse tarafından aktif kullanılmamasına rağmen kodun içerisinde yer alan disket sürücü kontrolcüsünün (Floppy Disk Controller) bir hatasından kaynaklandığı tarif edilmektedir. XEN, KVM, VirtualBox gibi QEMU temelli tüm sanallaştırma platformları, hatta sanallaştırma tabanlı bir dizi zararlı yazılım analiz sistemi de, tehdit altındadır; zafiyet alttaki hipervizör işletim sisteminden bağımsızdır. Yine Venom sitesinde etkilenen sistemlerin eksizsiz listesi ve üretici web sitelerine bağlantılar yer almaktadır.
Kaynak: Symturk
Hiç yorum yok:
Yorum Gönder