HTTPS로 보호되는 수십개 VISA 사이트들, Forbidden attack에 취약

HTTPS로 보호되는 수십개 VISA 사이트들, Forbidden attack에 취약

Dozens of VISA HTTPS-protected sites vulnerable to Forbidden attack

 ‘Forbidden attack’이라고 불리는 새로운 해킹 공격 기술로 수십개 HTTPS VISA 사이트가 공격에 노출돼 약 70,000개에 달하는 서버가 위험에 처했습니다.

세계 각국 출신의 연구 그룹은 사용자 브라우저에 변조된 콘텐츠를 담고, 악성 JavaScript 코드를 삽입한 해킹 공격을 발견했다고 밝혔습니다. 전문가들은 184개 취약한 서버를 발견했고, 이들 중에는 독일 주식거래 사이트 Deutsche Börse와 폴란드 은행 그룹 Zwizek Banków Polskich가 포함된 것으로 알려졌습니다.

해당 익스플로잇은 약 10년전부터 알려진 것으로, 최신은 아니지만 이미 사람들 사이에서 잊혀진 상태였습니다. 연구원들은 Forbidden Attack으로 어떻게 암호화 된 통신을 공격하는지 증명해 보았습니다. 

해당 취약점은 데이터 암호화에 동일한 암호 nonce(보안 엔지니어링에서 한번만 사용되는 임의의 비트 스트링)를 재사용하는 TLS 프로토콜 때문에 발생하며, nonce의 재사용으로 해커들은 사이트 콘텐츠를 인증하는데 사용되는 중요 요소들을 만들어낼 수 있습니다.

브라우저가 HTTPS로 보호되는 사이트를 처음으로 접속할 때 동일한 nonce를 사용하면, 해커들이 전송에 가짜 컨텐츠를 삽입해 이를 해커와 공유되게 할 수 있게되는 것입니다.(예. 보호되지 않는 Wi-Fi 네트워크, 동일한 LAN 세그먼트 등의 채널을 통해)

하지만 현재까지는 전송 시 변조만으로는 사용자에게 경고할만한 의심 행위를 하지 않는 것으로 확인되었습니다. 

연구진은 초기 타깃 발견 검사와 취약점 검사 두 가지로 나뉘어 진행된 연구조사의 발표 보고서에서 "해당 공격으로 해커들은 인증키를 알아내 메시지를 변조할 수 있다. nonce가 한번만 재사용되더라도 인증에 실패하게되어 HTTPS 변조 공격이 가능해 진다."고 말했습니다.

Deutsche Börse를 비롯한 몇몇 기관들은 해당 이슈를 패치했으나, Visa와 Zwizek Banków Polskich는 여전히 취약점에 노출되어 있습니다.

이들은 또한 조사과정에서 IBM의 Domino 웹서버와 Radware의 로드밸런서에서 TLS 취약점을 발견했으나, 지금은 패치되었다고 밝혔습니다.

출처 : 

http://securityaffairs.co/wordpress/47724/breaking-news/forbidden-attack.html