本文來自微信公眾號“嘶吼專業(yè)版”,作者/ang010ela。
據(jù)悉,1998年發(fā)現(xiàn)的SSL服務(wù)器PKCS#1 v1.5填充相關(guān)漏洞仍然影響多個服務(wù)器。
1998年,安全研究人員發(fā)現(xiàn)攻擊者利用PKCS#1 v1.5填充的錯誤引發(fā)的SSL服務(wù)器的錯誤信息可以發(fā)起選擇密文攻擊,當(dāng)與RSA解密同時使用時可以完全破解TLS解密的機(jī)密性;2018年,Hanno B?ck等人證明19年之后,許多互聯(lián)網(wǎng)服務(wù)器仍然受到該攻擊的變種的影響,紅帽(Red Hat)研究人員發(fā)現(xiàn)了該攻擊的多個變種,并將其命名為“Marvin Attack”。Marvin攻擊可以繞過現(xiàn)有補(bǔ)丁和緩解措施,解密RSA密文、偽造簽名、甚至解密有漏洞的TLS服務(wù)器的會話信息。
·對于有漏洞的實(shí)現(xiàn),攻擊者可以解密RSA密文和偽造簽名。
·對于默認(rèn)使用RSA加密密鑰交換的TLS服務(wù)器,攻擊者可以記錄會話,并之后解密會話內(nèi)容。
·對于使用前向安全密碼套件的TLS主機(jī),攻擊者必須在客戶端超時重連之前執(zhí)行大量的并行攻擊以偽造服務(wù)器簽名,雖然攻擊會比較困難,但仍然存在成功的可能性。
研究人員發(fā)現(xiàn)多個實(shí)現(xiàn)和修復(fù)措施仍然受到該漏洞的影響,經(jīng)過測試研究人員認(rèn)為大多數(shù)密碼學(xué)實(shí)現(xiàn)在實(shí)踐中都受到該漏洞的影響,包括OpenSSL、GunTLS、NSS、
·pyca/cryptography、M2crypto、OpenSSL-ibmca、Go、GNU MP:
·OpenSSL(TLS level):RSA解密時間Oracle漏洞,對應(yīng)CVE漏洞編號CVE-2022-4304;
·GnuTLS(TLS level):ClientKeyExchange過程中偽造的RSA密文響應(yīng)時間與正確的PKCS#1 v1.5填充密文響應(yīng)時間不同,對應(yīng)CVE漏洞編號CVE-2023-0361;
·NSS(TLS level):改善RSA操作的恒定時間,對應(yīng)CVE漏洞編號CVE-2023-4421;
·pyca/cryptography:嘗試緩解針對RSA解密的Bleichenbacher攻擊,CVE-2020-25659補(bǔ)丁無效,需要OpenSSL層級補(bǔ)?。?/p>
·M2crypto:嘗試緩解針對RSA解密的Bleichenbacher攻擊,CVE-2020-25659補(bǔ)丁無效,需要OpenSSL層級補(bǔ)丁。
研究人員稱該漏洞并不局限于RSA,可以擴(kuò)展到大多數(shù)的非對稱密碼算法,包括Diffie-Hellman、ECDSA等,可能引發(fā)側(cè)信道攻擊。
研究人員提供了TLS服務(wù)器層面和API層面的工具來檢測該問題,工具腳本參見:https://github.com/tlsfuzzer/tlsfuzzer/blob/master/scripts/test-bleichenbacher-timing-pregenerate.py
安全建議
對于受影響的用戶,研究人員建議安裝相關(guān)的補(bǔ)丁或更新。此外,研究人員建議用戶停用RSA PKCS#1 v1.5加密,在TLS層面,只有啟用了RSA加密的服務(wù)器受到影響,大多數(shù)客戶端支持ECDH,因此禁用使用RSA加密的密碼套件即可不受該漏洞的影響。對于客戶單,可以使用Finite Field Diffie Hellman。
研究論文已被CCF-B類會議ESORICS錄用,論文下載地址:https://eprint.iacr.org/2023/1442
參考及來源:https://www.bleepingcomputer.com/news/security/new-marvin-attack-revives-25-year-old-decryption-flaw-in-rsa/