Hack Like It's 1998: Websites sind immer noch anfällig für die Wiederbelebung von ROBOT Exploit



Another week, yet another security bulletin in tech news, with yet another vulnerability that joins the fray of both Intel's meltdown and Western Digital's MyCloud hacks. A team of researchers recently wrote a paper they titled 'Return Of Bleichenbacher's Oracle Threat (ROBOT)'. This paper went on to show how a well-known, circa 1998 exploit is still a viable way to take advantage of websites of even big name companies and services, such as Facebook and PayPal (in total, around 2.8% of the top 1 million sites also tested positive). The ROBOT exploit, a critical, 19-year-old vulnerability that allows attackers to decrypt encrypted data and sign communications using compromised sites' secret encryption key, is still valid. Only, it's 19 years later.

Der Kern des Problems beruht auf einer Sicherheitsanfälligkeit, die 1998 von dem Forscher Daniel Bleichenbacher entdeckt wurde, der die Sicherheitsanfälligkeit im TLS-Vorgänger, der als Secure Sockets Layer bezeichnet wird, entdeckte. Der Angriff wird als Oracle-Bedrohung bezeichnet, da Angreifer spezielle Abfragen schreiben können, auf die die Websites und betroffenen Systeme mit 'Ja' oder 'Nein' antworten. Daher ist es möglich, dass Angreifer bei ausreichender Zeit die Menge offengelegter vertraulicher Informationen aufbauen und sich ein klares Bild von den geschützten Daten machen. Auf die Entdeckung des Fehlers durch Bleichenbacher reagierten die SSL-Architekten anscheinend auf eine Art B-Movie-Art, die dennoch notwendig gewesen wäre, um alle Systeme grün zu halten: indem sie Workarounds über Workarounds entwarfen, anstatt den fehlerhaften RSA-Algorithmus zu entfernen oder neu zu schreiben. 'Wir konnten acht Anbieter und offene
Quellprojekte und eine beträchtliche Anzahl von Hosts, die gegenüber geringfügigen Variationen von Bleichenbachers adaptiv ausgewähltem Chiffretext-Angriff von 1998 anfällig waren ', schrieben die Forscher in ihrem Forschungsbericht. Die bemerkenswerteste Tatsache dabei ist, wie wenig Aufwand wir dafür aufgewendet haben. Wir können daher den Schluss ziehen, dass moderne TLS-Implementierungen nicht ausreichend auf alte Schwachstellen getestet wurden. ' Betroffen sind unter anderem Produkte von F5, Citrix und Cisco.

'The surprising fact is that our research was very straightforward. We used minor variations of the original attack and were successful. This issue was hiding in plain sight,' the researchers wrote in a blog post. 'This means neither the vendors of the affected products nor security researchers have investigated this before, although it's a very classic and well-known attack.' Sources: Return Of Bleichenbacher’s Oracle Threat (ROBOT) Paper, Robot Attack, via ArsTechnica, via TPU Forums @ user StefanM