SSL-toteutuksen POODLE-haavoittuvuus (CVE-2014-3566)
15.10.2014
Viime yönä julkistettiin tieto uudesta SSL-salausprotokollan haavoittuvuudesta. Haavoittuvuus koskee jo iäkästä SSL versio 3.0 -toteutusta ja tunnetaan POODLE-nimellä. Sen avulla hyökkääjän on mahdollista kuunnella osaa salatusta verkkoliikenteestä ja saada haltuunsa tunnistautumisevästeitä. Haavoittuvuudelta voi suojautua sallimalla ainoastaan TLS 1.0 -protokollan tai uudemmat.
Päivitys 22.10.2014:
Korostamme että on tärkeää sekä päivittää palvelimet että konfiguroida selaimet estämään SSLv3:n käyttö. Kattavat ohjeet selaimia, web-palvelinohjelmistoja ja sähköpostipalvelimia varten on julkaistu osoitteessa disablessl3.com
Olemme julkaisseet POODLE-haavoittuvuudesta Usein Kysytyt Kysymyukset -kirjoituksen, joka löytyy blogistamme.
---
Haavoittuvuuden todentamiseksi omassa nettiselaimessa eli SSL 3.0 -tuen testaamiseksi on julkaistu seuraava luotettavan tahon (SANS-instituutin) testisivusto: https://www.poodletest.com. Testisivusto vaatii että JavaScript on päällä selaimessa.
Teknisesti haavoittuvuutta hyödynnettäessä hyökkääjä pakottaa palvelimen käyttämään iäkästä SSL 3.0 -versiota, vaikka uudempiakin protokollia olisi tarjolla.
Riski haavoittuvuden hyödyntämisestä tavalliselle yritys- ja kotikäyttäjälle on suhteellisen pieni. Hyökkäyksen edellytyksenä oleva Man in the middle - eli välimieshyökkäys kuitenkin mahdollistuu käytettäessä esimerkiksi julkista WLAN-verkkoa, jossa hyökkääjä pystyy käsittelemään liikennettä. Useimmat mobiililaitteet, joita käytetään julkisilla paikoilla olevissa WLAN-verkoissa ovat näin ollen alttiita POODLE-hyökkäykselle ja web-liikenteen istuntojen kaappaukselle. On tärkeää huomioida, että julkisten verkkojen käyttöön liittyy myös useita muitakin riskejä.
Suosittelemme SSL 3.0 -tuen poistamista käytöstä. Ohjeet tuen poistamiseksi selaimesta löytyvät Lisätietoa (tekninen) -kohdan Viestintäviraston linkistä.
Toimi seuraavalla tavalla:
- Pyydä palveluntarjoajaasi selvittämään, mitkä ovat haavoittuvia laitteita ja samalla laatimaan korjaussuunnitelma
- Aloita korjausten asentaminen laitteista, jotka ovat tavoitettavissa julkisen verkon rajapinnassa
- Ohjeista tai toteuta teknisesti työasemien selainten SSL 3.0 -tuen poistaminen
- Seuraa asian uutisointia
Nixu Watson -haavoittuvuusskannauksen asiakkaille on tiedotettu haavoittuvuudesta aikaisemmin tänään ja ilmoitettu POODLE-haavoittuvuudelle alttiit IP-osoitteet.
Lisätietoa (yleisellä tasolla):
Internet Storm Center / OpenSSL: SSLv3 POODLE Vulnerability Official Release isc.sans.edu/diary.html?storyid=18827
Lisätietoa (tekninen):
Viestintävirasto / SSL 3.0 -haavoittuvuus mahdollistaa selainistunnon kaappaamisen välimieshyökkäyksen avulla www.viestintavirasto.fi/tietoturva/tietoturvanyt/2014/10/ttn201410151412.html
OpenSSL-hanke / This DOODLE Bites: Exploiting The SSL 3.0 Fallback www.openssl.org/~bodo/ssl-poodle.pdf
Lisätty 22.10.: Disablessl3.com / How to disable SSLv3: disablessl3.com