PayPal và Facebook bị tin tặc tấn công?

15/12/2017 10:00:00

Các chuyên gia bảo mật vừa phát hiện ra lỗ hổng về mật mã trong thực hiện các thuật toán RSA mà nhà nghiên cứu an ninh mạng Daniel Bleichenbacher phát hiện trước đây vẫn còn có khả năng bị tấn công.

Được biết cuộc tấn công này có tên là ROBOT (Return of Bleichenbacher's Oracle Threat) có ảnh hưởng đến 27 trang web nằm trong top 100 của Alexa, gồm các trang web lớn trong đó có cả PayPal và Facebook.

ROBOT được phát hiện bởi 3 nhà nghiên cứu an ninh mạng là Hanno Böck, Juraj Somorovsky và Craig Young. Họ cho biết cuộc tấn công ROBOT cho phép kẻ tấn công có thể nhận được các khóa mã hóa cá nhân cần cho việc giải mã lưu lượng truy cập HTTPS trong một số điều kiện nhất định. Tính đến nay, vẫn chưa có bất kỳ báo cáo hay ghi nhận nào cho thấy ROBOT đã bị khai thác.

Năm 1998, ROBOT đã bị tìm thấy bởi Bleichenbacher rằng có thể cho phép sử dụng các cuộc tấn công ào ạt để đoán được chính xác một khóa phiên và giải mã tin nhắn HTTPS giữa các máy chủ TLS (HTTPS) và trình duyệt của người dùng. Điều này có thể xảy ra nếu các khóa phiên được mã hóa bằng thuật toán RSA và sử dụng hệ thống đệm PKCS #1 1.5. Kẻ tấn công này có thể gửi khóa phiên đến máy chủ TLS và hỏi xem liệu nó có hợp lệ không – lúc này máy chủ sẽ trả lời YES hoặc NO cho đến khi kẻ tấn công này mua khóa phiên. Mặc dù lỗ hổng này đã được khắc phục gần hai thập kỷ trước nhưng ROBOT vẫn có thể bị tận dụng vì các biện pháp đối phó lỗ hổng khá phức tạp và không thực hiện đúng.

Các nhà nghiên cứu cho hay: “Đối với các máy chủ dễ bị tấn công và chỉ hỗ trợ trao đổi khóa mã hóa RSA, nó có thể trở thành nạn nhân. Điều này có nghĩa là kẻ tấn công có thể ghi lại những lưu lượng thụ động, và ngay sau đó giải mã nó. Đối với các dòng máy chủ thường sử dụng loại khóa chuyển tiếp nhưng vẫn hỗ trợ mã hóa RSA, thì các rủi ro trong chuyển tiếp sẽ phụ thuộc vào tốc độ tấn công có thể thực hiện được.”

Để chứng minh tính hợp lý của cuộc tấn công ROBOT, các nhà nghiên cứu đã ghi nhận được khóa chứng nhận HTTPS của Facebook để họ có thể mạo danh thành công trang web. Facebook đã sửa lỗi này vào tháng 10 và cung cấp một khoản tiền thưởng cho nhóm nghiên cứu. Các nhà nghiên cứu cũng thông báo lỗi đến các trang web và nhà cung cấp dễ bị tổn thương khác.

Cũng theo Trend Micro, các nhà nghiên cứu cũng tung ra công cụ kiểm tra tại đây, để giúp các trang web khác kiểm tra xem mình có bị tấn công bởi ROBOT hay không.