20 ago. 2018

VORACLE: ataque capaz de recuperar datos HTTP de conexiones de VPNs

El ataque llamado VORACLE tiene la capacidad de recuperar el trafico HTTP enviado via una conexión cifrada de VPN a través de ciertas condiciones. Este ataque fue descubierto por Ahmed Nafeez, un investigador de ciberseguridad que presentó sus hallazgos en las conferencias de Black Hat y DEF CON.

VORACLE no es un nuevo ataque de por sí, si no, una variación y mezcla de otros ataques criptográficos más antiguos como CRIME, TIME, y BREACH.. En los ataques ya mencionados, los investigadores eran capaces de recuperar datos de conexiones cifrada de TLS en caso de que los datos estuvieran comprimidos antes de ser cifrados, siendo parcheados en 2012 y 2013.

Nafeez se percató de que ciertos puntos teóricos de estos ataques seguían siendo válidos cuando hablamos de trafico de VPN. Los servicios/clientes de VPN que comprimen el trafico web HTTP antes de ser encriptado son todavía vulnerables a estos ataques tan antiguos.

Según Nafeez, VORACLE es únicamente funcional contra servicios/clientes VPN que esten construidos encima de un protocolo de OpenVPN. Esto es porque el código libre del protocolo de OpenVPN usa como configuración predeterminada y comprime todos los datos antes de cifrados via TLS y después los envía por el tunel VPN.
El atacante sólo tiene que engañar al usuario para que entre en un sitio HTTP dónde el atacante pueda ejecutar código malicioso, siendo legítima o bajo el control de la víctima. Esto permite al atacante robar y descifrar información sensible del sitio web, como podrían ser las cookies de sesiones.

¿Cómo se puede prevenir el ataque VORACLE?

Hay varias formas de evitar este tipo de ataque, además de que OpenVPN ha decidido modificar su página de docs para advertir sobre los peligros de este ataque.

Hay 3 puntos distintos a seguir para evitar VORACLE, simplemente con cumplir 1 podemos prevenirlo:
  1. Muchos servicios/clientes de VPN permiten a sus usuarios cambiar el protocolo de VPN, permitiendo a los usuarios cambiar a un protocolo distinto.
  2. Los usuarios pueden alejarse de HTTP, usando HTTPS como tráfico enviado a través de cualquier servicio/cliente de VPN, siendo inmune a VORACLE.
  3. El ataque no funciona en navegadores basados en Chronium, dónde las peticiones HTTP se dividen en múltiples partes: la cabecera y el cuerpo. Aunque se use un servicio/cliente de VPN basado en OpenVPN, no tendría efecto. Navegadores como Firefox son vulnerables debido a que envían las peticiones de datos de HTTP en un gran paquete.
Se ha publicado un código PoC en Github para poder hacer tests de este ataque.

Fuente: BleepingComputer

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!