Il ritorno di POODLE: intercettare dati in transito

Un paio di mesi fa tutto il mondo parlava di POODLE, un attacco che – sfruttando vulnerabilità di sicurezza insite nel vecchio SSLv3 consente di intercettare dati altrui e di impossessarsi di informazioni personali e credenziali d’accesso -. Nell’articolo Disattivare SSL 3.0 e proteggere i dati personali dall’attacco POODLE abbiamo spiegato il funzionamento dell’attacco, come scoprire se un server è vulnerabile e come difendersi.

Google e Mozilla, rispettivamente, con il rilascio di Chrome 39 e Firefox 34 hanno disabilitato il supporto per SSLv3 riducendo al minimo i rischi di attacco.

Una nuova variante dell’attacco POODLE interessa il 10% dei siti web a livello mondiale

In queste ore, tuttavia, è emersa un’importante novità. Il 10% dei siti web a livello mondiale che utilizzano HTTPS sono vulnerabili ad una variante dell’attacco POODLE. Questa volta l’attacco è anche più semplice da mettere in campo dal momento che interessa l’ultima versione del protocollo per la cifratura dei dati end-to-end: TLS 1.2.

Per avviare l’attacco, l’aggressione non deve neppure – in questo caso – provare a richiedere il “fallback” su SSLv3 ma dovrebbe semplicemente limitarsi ad iniettare codice JavaScript malevolo. Basti pensare che per rilevare il contenuto di un cookie contenente le credenziali di autenticazione di un utente (16 caratteri), il malintenzionato dovrebbe effettuare 4.096 richieste. Qualcosa di molto semplice da mettere in pratica, quindi.

Dal momento che, come confermato da Qualys, l’attacco interessa molti dei più famosi istituti di credito su scala globale, gli amministratori degli stessi siti dovrebbero verificare al più presto la corretta implementazione della cifratura mediante protocollo TLS 1.2 ed eventualmente applicare le patch già disponibili.

Suggeriamo di controllare che i siti web utilizzati per scambiare dati sensibili (ad esempio il servizio di online banking) non siano indicati come insicuri da parte di Qualys (fare riferimento a questo tool).