Grave Vulnerabilidad en SSL 3.0

Una seria vulnerabilidad en SSL 3.0  fue recientemente descubierta por Ingenieros de Google, a la cual se le asigno el CVE-2014-3566 (actualmente esta bajo analisis y no posee muchos detalles).  Poodle (Padding Oracle On Downloaded Legacy Encryption) es el ataque que explota esta vulnerabilidad, el cual basicamente permite a un atacante robar información mediante la alteración de las comunicaciones entre el cliente y el servidor SSL (también conocido como ataque Man in the Middle o MITM). Una explotación exitosa de esta vulnerabilidad puede dar lugar a que un atacante pueda exponer datos cifrados entre un cliente y un servidor compatible SSL 3.0.

Desde Rapid7 nos han informado que se espera que para el día de hoy podamos contar con los módulos necesarios para poder chequear esta vulnerabilidad con Nexpose, como así también en breve estará disponible el modulo necesarios para poder realizar una PoC desde Metasploit.

Recomendaciones: Si bien varios vendors ya se encuentran trabajando en la solución de esta vulnerabilidad, se aconseja en la medida de ser posible deshabilitar SSL 3.0 en todos los clientes y servidores (VPNs, sitios webs, servidores de correo, etc). Tambien es aconsejable activar TLS_FALLBACK_SCSV para evitar el downgrade.

 

Referencias:

https://www.openssl.org/~bodo/ssl-poodle.pdf

https://community.rapid7.com/community/infosec/blog/2014/10/14/poodle-unleashed-understanding-the-ssl-30-vulnerability