A mediados del mes de octubre hablamos de un método que permitía obtener información sensible de los usuarios que se enviaba cifrada utilizando el protocolo SSL, como por ejemplo las cookies con datos de autenticación. Tras varias semanas expertos en seguridad han descubierto que la utilización de POODLE contra TLS también puede permitir la obtención de la información cifrada.
Hasta este momento se creía que únicamente SSL 3.0 estaba afectado por este problema, sin embargo, un ingeniero de seguridad del Gigante de Internet ha descubierto que algunas implementaciones TLS que utilicen una función de descifrado contenida en SSL 3.0 también son vulnerables a este tipo de ataques.
Los usuarios particulares se ven afectados por esta vulnerabilidad, ya que muchas comunicaciones van cifradas utilizando este protocolo, y por lo tanto, permitiría la obtención de los datos cifrados y su posterior descifrados, poniendo en peligro información sensible y la seguridad de las cuentas muchos servicios, tal y como ha sucedido con las páginas asociadas al Banco de América.
Expertos en seguridad han estrechado el cerco y todo parece indicar que los equipos afectados por este problema serían algunos balanceadores de carga pertenecientes a los fabricantes F5 y A10 Networks.
Por qué aparece esta vulnerabilidad
Al utilizar la función de descifrado perteneciente a SSL 3.0 lo bits de paridad no se definen para los paquetes cifrados, y como consecuencia, esta tampoco se va a poder comprobar después de que se deshaga el cifrado, siendo posible la realización del ataque POODLE.
Si a mediados de octubre los ciberdelincuentes buscaban el downgrade de TLS a SSL 3.0 para aprovechar esta vulnerabilidad ahora resulta ser el proceso contrario. Partiendo de que en SSL ya se ha solucionado el problema se busca hacer un downgrade a la TLS y así conseguir aplicar el ataque utilizando un Man-in-the-Middle entre las comunicaciones del usuario y el servidor web.
Una utilidad para comprobar si el servidor o el balanceador de carga es vulnerable a POODLE
Una empresa de seguridad ha puesto a disposición de los administradores web una herramienta gratuita que es capaz de determinar si estos equipos son vulnerables o no a este ataque realizando un breve test.
F5 se ha puesto manos a la obra y parece que han corregido los problemas existentes en todos sus productos, algo que aún no ha realizado A10 con sus balanceadores de carga.
Fuente | Softpedia