ROBOT - Return of Bleichenbacher's Oracle Attack

En forskargrupp har meddelat att det finns en sårbarhet i RSA-implementeringen som bygger på en 19 år gammalt protokollfel vilket möjliggör en klassisk Bleichenbacher-attack.[1]

Vad har hänt?

År 1998 publicerade Daniel Bleichenbacher en algoritm för att utnyttja sårbarheten med en anpassningsbar chiffertextattack. Som åtgärd argumenterade Bleichenbacher för ett kryptosystem som exempelvis PKCS #1v2.[2]

Ett framgångsrikt utnyttjande av sårbarheten gör det möjligt för en angripare att utföra krypteringsoperationer med hjälp av den privata nyckeln tillhörande den utsatta servern. I praktiken innebär det att en angripare kan dekryptera tidigare inspelade sessioner som är etablerade med RSA-nyckelbyte.

En angripare som kan utföra en signaturattack under en TLS-handshake-timeout kan bli en full MiTM genom nedgraderingsanslutningar för att använda RSA-krypteringsnycklarna enligt samma princip som i en DROWN-attack.

Rekommendation

På webbsidan robotattack.org listas ett flertal leverantörer som har framtagna säkerhetsrättningar[3]. Det finns även ett publicerat verktyg, skrivet i Python, för att identifera sårbara system.[4]

Den mest kompletta lösningen är att inaktivera RSA-krypteringsbaserade nyckelbyteslägen där det är möjligt, det räcker med att inaktivera TLS_RSA. Detta ger skydd mot kända och okända sårbarheter med minimal inverkan på HTTPS-klientens kompatibilitet.

Källa

[1] https://robotattack.org/
[2] https://www.cert.org/historical/advisories/CA-1998-07.cfm
[3] https://robotattack.org/#patches
[4] https://github.com/robotattackorg/robot-detect