POODLE 취약점 또 다시 발생... 주의!

POODLE 취약점이 또 다시 발생... 주의!

지난 10월, 구글의 보안 연구원들은 sslv3 poodle 취약점을 발견했으며, 이와 관련된 취약점은 이미 패치되었습니다. 그러나 패치가 이루어 진지 두 달이 지나기 전, TLS 프로토콜에서 POODLE 취약점(CVE-2014-8730)이 또 다시 발생하여 주의가 필요합니다.

POODLE 취약점은 암호화 표준인 SSL v3.0에서 발생하는 취약점으로, 공격자는 해당 취약점을 악용하여 브라우저와 HTTPS 사이에서 MITM공격을 할 수 있습니다.

현재 어플리케이션에서 가장 많이 사용하는 것은 TLS 1.0이고, 그 뒤를 SSL3.0이 따르고 있습니다. 그러나 주요 브라우저들은 이미 TLS 1.2를 지원합니다. TLS1.0은 SSL3.1로 표시되고, TLS 1.1은 SSL3.2로, TLS 1.2는 SSL 3.3으로 표시합니다.

POODLE 취약점 분석

TLS는 서버와 클라이언트 사이에서 데이터의 기밀성을 보장해주는 프로토콜입니다. 이번 취약점은 TLS 1.2버전이하에서 발생하는 것으로, 공격자는 SSL3.0으로 다운그레이드 필요 없이 TLS 1.2를 이용하여 전송계층의 암호화 매커니즘을 우회하고, 사용자의 정보를 탈취할 수 있습니다.

해당 공격의 메인 타겟은 '브라우저'로, 공격자들은 최초 공격시 악성코드를 자바스크립트 형태로 삽입시켜 사용자 PC를 감염시킵니다. 해당 공격이 성공하면 256번의 리퀘스트 패킷을 보내어 쿠키값 1자리를 덮어씌우거나, 4096번의 리퀘스트 패킷을 보내어 쿠키값에 있는 16자리값을 덮어씌웁니다. (쿠키값으로 설명한 것은 예시입니다.)

해당 공격은 성공률이 매우 높기 때문에 사용자들의 각별한 주의가 필요하며, 브라우저를 최신으로 업데이트하는 것이 필요합니다. 테스트를 통해 확인해본 결과, 주요 홈페이지, 예를들어 해외 대형 은행, 투자회사 등은 모두 해당 취약점의 영향을 받은 것으로 밝혀졌습니다. 이 취약점은 매우 위험하며, 최신 SSL스캐너에 따르면 약 10% 서버가 POODLE 공격에 취약합니다.

현재 F5, A10등 네트워크 장비들이 영향을 받는 사실이 확인되었고, 다른 네트워크 장비들이 영향을 받는지 여부에 대해서는 테스트 중입니다. 보안 담당자는 여기 페이지(https://www.ssllabs.com/ssltest/)에서 자신이 운영하는 서버 또는 장비가 영향을 받는지 여부를 확인할 수 있습니다. 

취약점 대응 방법

F5장비를 사용하는 사용자들은 tmsh를 통하여 설정을 바꾸거나 관련 패치를 진행해야 합니다.

https://downloads.f5.com/esd/index.jsp

https://support.f5.com/kb/en-us/solutions/public/15000/800/sol15882.html

개인 사용자들은 사용하는 브라우저를 최신으로 업데이트해야 합니다. 만약 IE6을 사용하고 있다면, IE11이나 IE12로 업데이트가 필요합니다. 또한 낮은버전의 FireFox 혹은 Chrome을 사용하고 있다면, 설정에서 SSL3.0과 TLS1.2를 비활성화시켜 임시조치를 취할 수 있습니다. 

※ IE사용자

IE버전이 낮은 사용자는 환경설정 ▶ 인터넷옵션 ▶ 고급에서 'USE SSL3.0'을 비활성화해야 합니다. 

※ FireFox 사용자

브라우저 주소창에 about:config를 입력하고, security.tls.version.max를 3으로 설정, security.ssl3.rsa_flip_des_ede3_sha를 false로 설정해 놓습니다. 또는  https://addons.mozilla.org/en-US/firefox/addon/ssl-version-control/ 에서 확장 프로그램을 다운받아 sslv3 를 비활성화시킵니다. 

※ Chrome 사용자

시작 ▶ 모든 프로그램 ▶ 크롬아이콘에 마우스 올려놓고 우클릭 ▶ 속성 ▶ target에 -ssl-version-min=tls1 ▶ 크롬 재시작

※ 우분투 크롬 사용자

Exec”설정에 –ssl-version-min=tls1 아규먼트를 추가합니다.

※ 스윙 사용자

시작 ▶ 모든 프로그램 ▶ 스윙 아이콘에 마우스 올려놓고 우클릭 ▶ 속성 ▶ target에 -ssl-version-min=tls1 ▶ 스윙 재시작

 

참고 :

https://zmap.io/sslv3/browsers.html#chrome-windows

http://thehackernews.com/2014/12/SSL-Poodle-TSL-attack.html

https://devcentral.f5.com/articles/cve-2014-8730-padding-issue-8151

http://arstechnica.com/security/2014/12/meaner-poodle-bug-that-bypasses-tls-crypto-bites-10-percent-of-websites/

http://krebsonsecurity.com/2014/12/poodle-bug-returns-bites-big-bank-sites/