Se ha descubierto una variante de la vulnerabilidad de SSL llamada Poodle que también afecta a algunas implementaciones de TLS hasta 1.2.
En octubre, hablábamos de una vulnerabilidad del protocolo SSL que permitía realizar un ataque de Hombre en el medio (MitM) aunque la comunicación estuviese cifrada con SSL en su ultima versión. Recibió el nombre de Poodle (Padding Oracle On Downgraded Encryption) debido a la manera de explotar la vulnerabilidad. La manera más rápida de solucionarlo era impidiendo las conexiones bajo SSL y usando TLS en su lugar ya que es un algoritmo mas robusto. Sin embargo, unos investigadores de la firma de seguridad Qualys encontraron que algunas implementaciones de TLS omiten la revisión de la estructura del padding después del descifrado, lo que las hace vulnerables a Poodle.
El impacto de este problema es similar al de POODLE pero es un poco más fácil ejecutar porque no hay necesidad de hacer un downgrade de los clientes. El principal objetivo son los navegadores, porque el atacante puede inyectar un JavaScript malicioso para iniciar el ataque. Un ataque exitoso utiliza unas 256 solicitudes para descubrir cada caracter de una cookie, o sea sólo 4096 solicitudes para una cookie de 16 caracteres. Esto hace que el ataque sea bastante práctico.
Ivan Ristic, director de investigación de Qualys
La vulnerabilidad fue identificada como CVE-2014-8730 y se estima que un 10% de los sitios es vulnerable al ataque. Ya algunos fabricantes han liberado los parches respectivos o algunas soluciones como paliativo mientras el parche es liberado. Se estima que casi el 50% de los sitios en internet usan TLS 1.2 aunque se indica que las implementaciones de TLS 1.2 que usan la suite de cifrado AEAD no son vulnerables.
Si deseas comprobar si tu sitio es vulnerable, puedes usar la herramienta online gratuita de Qualys SSL Labs, la cual ha sido actualizada con el fin de detectar la falla.
Fuente: SlashDot