Corpus Solutions

CYBERSECURITY EXPERTS
EN
☰ Menu

VAROVÁNÍ: Zranitelnost TLS Logjam

26. 05. 2015

Základní informace: TLS protokol používaný k zabezpečení komunikace (mimo jiné WWW) obsahuje slabinu, která umožní vynutit použití slabšího zabezpečení (šifry), na které lze zaútočit. Protokol Diffie-Hellman (DHE) používaný pro ustavení zabezpečené komunikace používá často jeden z parametrů ve výchozí hodnotě, a tím na něj lze snáze útočit. Útočník schopný využít první slabiny, zvlášť v kombinaci z použitím jedné z běžně používaných výchozích konfigurací parametru DH group, dokáže dekódovat příp. v reálném čase změnit obsah zabezpečených spojení.

Klasifikace zranitelnosti (dle CVSS v2 Vector Definitions):
CVSS v2 Base Score: 4.3 (MEDIUM) (AV:N/AC:M/Au:N/C:N/I:P/A:N) (legend)
Impact Subscore: 2.9
Exploitability Subscore: 8.6

Popis zranitelnosti:

1) TLS protokol downgrade
Útočník, který je schopen pozměnit komunikaci mezi klientem a serverem (man-in-the-middle), může způsobit navázání šifrované komunikace využívající tzv. export-grade algoritmy (tj. zastaralé a nedostatečně bezpečné) a následně spojení dešifrovat či změnit přenášená data. Tento popis je identický s nedávnou zranitelností FREAK, ale na rozdíl od něj se nejedná o chybnou implementaci, ale o nedostatek v protokolu, takže se proti tomu není možné 100% korektně bránit.
Konkrétní změna, kterou útočník způsobí, pak spočívá v tom, že pro výměnu šifrovacího klíče se použije Diffie-Hellman protokol s parametrem group o délce 512 bitů (místo bezpečnějších 768 nebo víc).

2) Slabiny v použití DHE protokolu
Na Diffie-Hellman protokol pro výměnu šifrovacího klíče existují již dlouhou dobu teoretické útoky. Jeden z nich spočívá v tom, že pro jednu konkrétní hodnotu inicializačního parametru group lze předpočítat velké množství mezivýsledků, které umožní mnohem rychlejší prolomení protokolu, tak jak probíhá při ustanovování zabezpečeného spojení. Autoři výzkumu proces optimalizovali a přípravné práce pro parametr o délce 512 bitů dokončili za týden (za využití řádově tisíců procesorů), což není zas tak mnoho, zvlášť když je výsledek použitelný na více útoků. Na prolomení zabezpečení spojení využívajícím tuto hodnotu parametru teď potřebují jen 90 vteřin. Dále odhadují, že podobné práce pro délku 768 a dokonce 1024 bitů jsou také realizovatelné. Zvlášť u délky 1024 bitů už je ale náročnost enormní (odhadují, že americká špionážní agentura NSA to s obrovskými investicemi mohla provést snad za rok).

Nejedná se o zásadní prolomení základního protokolu DH. Na druhou stranu však platí, že nezanedbatelná část spojení používá výchozí hodnotu parametru group, a tak není vůbec vyloučeno, že na něj může být útočeno. To platí zvlášť ve spojení s první zranitelností, vynuceném používání 512 bit group.

Před zveřejněním zranitelnosti bylo na TLS protokol downgrade a vynucení používání DHE v s export-grade group zranitelných 8,4% významných serverů. Toto číslo by pravděpodobně bylo mnohem vyšší nebýt útoku FREAK, kdy provozovatelé často zakázali export-grade algoritmy včetně DHE.

Protokol DH je používán i pro zabezpečení VPN spojení v protokolu IKE, jenž je používán pro ustanovení spojení IPSec VPN. Jeho napadnutí je o něco obtížnější než ve spojení s TLS, ale na druhou stranu výzkumníci zjistili, že velká část IPSec VPN používá výchozí hodnotu group (66% spojení používá výchozí 1024 bit hodnotu). To vede autory ke spekulacím, že alespoň zmíněná NSA na tyto komunikace dokáže útočit (jak naznačují některé materiály zveřejněné Edwardem Snowdenem).

Reference:
• https://weakdh.org/
• http://thehackernews.com/2015/05/logjan-ssl-vulnerability.html
• https://openssl.org/blog/blog/2015/05/20/logjam-freak-upcoming-changes/
• http://www.root.cz/zpravicky/logjam-tls-zranitelnost-podobna-freaku/
• http://www.securityweek.com/logjam-tls-vulnerability-exposes-websites-mail-servers-researchers
• https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4000

Zranitelné verze:

1) TLS protokol downgrade
Vzhledem k tomu, že se jedná o chybu v návrhu protokolu, tak jsou zranitelné všechny implementace.
2) Slabiny v použití DHE protokolu – výchozí hodnota group
Velká část software, která podporuje DHE protokol, obsahuje výchozí hodnoty pro parametr group. Ačkoliv dokumentace často obsahuje návod, jak použít jinou hodnotu, výzkum ukázal, že se tak často nestane. Uživatelé ani správci totiž leckdy nevědí o tom, že protokol DHE používají, natož aby věděli, že má parametr group, který se doporučuje změnit.

Opatření k odstranění zranitelnosti:

1) TLS protokol downgrade
Proti této slabině se v zásadě nelze bránit, aniž se nějakým způsobem neomezí použití krátkého group. Výrobci prohlížečů a dalšího software tedy mění svůj software, aby krátké klíče odmítal. Nainstalováním nové verze tedy dojde k odstranění této zranitelnosti.
Na straně serveru pak lze obvykle zakázat export-grade DHE, a tím útoku zabránit.
Je nutné počítat s tím, že existuje malé množství serverů či klientů, kteří bezpečný DHE nepodporují, a těm přestanou některá spojení fungovat.

2) Slabiny v použití DHE protokolu – výchozí hodnota group
Tato slabina je relevantní pouze pro servery. Software obvykle umožňuje nastavit jinou než výchozí hodnotu, a tak se zranitelnost odstraní touto změnou nastavení. Spolu se změnou group se běžně doporučuje přejít na délku 2048 bitů, která je v tuto chvíli považována za bezpečnou, příp. rovnou dále omezit množinu podporovaných protokolů a nechat jen ty, které jsou považovány za ještě bezpečnější. Viz. https://weakdh.org/sysadmin.html. Na této stránce je i možnost spustit test serveru na zranitelnost Logjam.

U systémů ve správě Corpus Solutions provedeme v nejbližší době opatření pro eliminaci tohoto problému a zákazníky budeme průběžně informovat prostřednictvím standardních komunikačních mechanizmů.

Michal Mertl
security specialista Corpus Solutions a.s.