CERTA-2011-ALE-005

Vulnerability from certfr_alerte - Published: - Updated:

Le CERTA constate un intérêt renouvelé pour l'exploitation malveillante de la fonctionnalité de renégociation de clés de session du protocole SSL/TLS afin de provoquer un déni de service.

Description

Plusieurs articles et des outils récemment publiés sur l'Internet mettent en lumière certaines fonctionnalités du protocole SSL/TLS. En effet, le protocole SSL requiert des traitements significativement plus coûteux pour le serveur que le client lors de l'établissement d'une session ou lors de la renégociation de clés de session. Cette forte asymétrie des traitements entre le client et le serveur permet à un ou plusieurs clients d'épuiser les ressources serveur et de réaliser un déni de service. Les publications récentes détaillent ces aspects et proposent des outils, très simples d'utilisation, mettant en pratique cette attaque.

Toutes les applications reposant sur l'utilisation d'un canal SSL/TLS sont potentiellement vulnérables (HTTPS, POPS, IMAPS, LDAPS, ...).

La plus efficace de ces attaques consiste à utiliser une seule connexion TCP pour réaliser de nombreuses renégociations des clés de session SSL/TLS.

Une variante de cette attaque, plus facilement détectable, consiste pour le client à multiplier les connexions TCP pour établir un grand nombre de sessions SSL/TLS. Cette variante sera privilégiée par l'attaquant lorsque la renégociation de clés de session initié par le client est désactivée sur le serveur.

Solution

S'agissant d'une fonctionnalité du protocole SSL/TLS, aucun correctif n'est à attendre de la part des éditeurs d'implémentation du protocole SSL/TLS.

Néanmoins, un certain nombre de vérification et/ou précautions s'imposent pour prévenir un déni de service sur des applications critiques reposant sur le protocole SSL/TLS.

5 -.1 Désactivation de la fonctionnalité de renégociation de clés de session initiée par le client

La fonctionnalité de renégociation des clés de session a déjà donné lieu à la publication de l'avis CERTA-2009-AVI-482. Lors du traitement de cette vulnérabilité, les différents éditeurs d'implémentation du protocole SSL/TLS ont proposé des mises à jour refusant par défaut les demandes de renégociation de clés de session initiées par le client.

Pour l'implémentation OpenSSL, la version OpenSSL 0.9.8l désactive la renégotiation de clé inititiée par le client. Les versions 0.9.8m et supérieures réactivent cette fonctionnalité. Il revient alors à l'administrateur de s'assurer que les applications proposant un canal chiffré avec OpenSSL sont configurées pour refuser les demandes de renégociation des clés de session. Par exemple, le module mod_ssl de Apache rejette ces demandes dans les versions récentes.

Pour l'implémentation de Microsoft Windows (Schannel), les mises à jour de Schannel.dll sont documentées dans l'avis de sécurité Microsoft KB977377.

Ces mises à jour désactivent par défaut la renégociation de clés de session initiée par le client. Il est important de bien noter que les vulnérabilités adressées par ces mises à jour ne sont pas liées aux exploitations malveillantes par déni de service décrites dans cette alerte.

Cette mesure permet de prévenir l'exploitation la plus efficace de cette vulnérabilité.

5 -.2 Surveillance et limitation des connexions TCP

L'autre technique ici utilisée est un déni de service plus classique reposant sur la multiplication des connexions au serveur et le déclenchement de traitements coûteux pour le serveur (ici l'établissement de sessions SSL/TLS).

Dans ce contexte, il convient de recourir au moyen habituels de prévention de ce risque :

  • Augmentation des capacités du serveur

    L'attaque reposant sur l'attrition des ressources du serveur, il peut suffir d'augmenter significativement les capacités de traitement afin de pouvoir absorber la charge de l'attaque sans impacter la charge normale de l'application.

  • Limitation du nombre de connexions

    L'application de mesures de limitation du nombre de connexions TCP simultanées va efficacement limiter l'accès de l'attaquant aux ressources du serveur et ainsi prévenir l'attaque.

  • Utilisation de matériel spécialisé type Hardware Security Module (HSM)

    Des matériels spécialisés type HSM permettent d'augmenter significativement le nombre de négociations SSL/TLS réaliséées par unité de temps et donc la résistance aux attaques. Lorsque ces boitiers sont utilisés, il est important de s'assurer que les protocoles acceptés par l'application côté serveur sont bien accélérés par ce matériel. En effet, si un protocole négocié entre le client et le serveur n'est pas accéléré alors la protection apportée par le dispositif n'est plus efficace.

Toutes les implémentations du protocole SSL/TLS sont potentiellement vulnérables.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eToutes les impl\u00e9mentations du protocole SSL/TLS sont  potentiellement vuln\u00e9rables.\u003c/P\u003e",
  "closed_at": "2013-02-21",
  "content": "## Description\n\nPlusieurs articles et des outils r\u00e9cemment publi\u00e9s sur l\u0027Internet\nmettent en lumi\u00e8re certaines fonctionnalit\u00e9s du protocole SSL/TLS. En\neffet, le protocole SSL requiert des traitements significativement plus\nco\u00fbteux pour le serveur que le client lors de l\u0027\u00e9tablissement d\u0027une\nsession ou lors de la ren\u00e9gociation de cl\u00e9s de session. Cette forte\nasym\u00e9trie des traitements entre le client et le serveur permet \u00e0 un ou\nplusieurs clients d\u0027\u00e9puiser les ressources serveur et de r\u00e9aliser un\nd\u00e9ni de service. Les publications r\u00e9centes d\u00e9taillent ces aspects et\nproposent des outils, tr\u00e8s simples d\u0027utilisation, mettant en pratique\ncette attaque.\n\nToutes les applications reposant sur l\u0027utilisation d\u0027un canal SSL/TLS\nsont potentiellement vuln\u00e9rables (HTTPS, POPS, IMAPS, LDAPS, ...).\n\nLa plus efficace de ces attaques consiste \u00e0 utiliser une seule connexion\nTCP pour r\u00e9aliser de nombreuses ren\u00e9gociations des cl\u00e9s de session\nSSL/TLS.\n\nUne variante de cette attaque, plus facilement d\u00e9tectable, consiste pour\nle client \u00e0 multiplier les connexions TCP pour \u00e9tablir un grand nombre\nde sessions SSL/TLS. Cette variante sera privil\u00e9gi\u00e9e par l\u0027attaquant\nlorsque la ren\u00e9gociation de cl\u00e9s de session initi\u00e9 par le client est\nd\u00e9sactiv\u00e9e sur le serveur.\n\n## Solution\n\nS\u0027agissant d\u0027une fonctionnalit\u00e9 du protocole SSL/TLS, aucun correctif\nn\u0027est \u00e0 attendre de la part des \u00e9diteurs d\u0027impl\u00e9mentation du protocole\nSSL/TLS.\n\nN\u00e9anmoins, un certain nombre de v\u00e9rification et/ou pr\u00e9cautions\ns\u0027imposent pour pr\u00e9venir un d\u00e9ni de service sur des applications\ncritiques reposant sur le protocole SSL/TLS.\n\n## 5 -.1 D\u00e9sactivation de la fonctionnalit\u00e9 de ren\u00e9gociation de cl\u00e9s de session initi\u00e9e par le client\n\nLa fonctionnalit\u00e9 de ren\u00e9gociation des cl\u00e9s de session a d\u00e9j\u00e0 donn\u00e9 lieu\n\u00e0 la publication de l\u0027avis CERTA-2009-AVI-482. Lors du traitement de\ncette vuln\u00e9rabilit\u00e9, les diff\u00e9rents \u00e9diteurs d\u0027impl\u00e9mentation du\nprotocole SSL/TLS ont propos\u00e9 des mises \u00e0 jour refusant par d\u00e9faut les\ndemandes de ren\u00e9gociation de cl\u00e9s de session initi\u00e9es par le client.\n\nPour l\u0027impl\u00e9mentation OpenSSL, la version OpenSSL 0.9.8l d\u00e9sactive la\nren\u00e9gotiation de cl\u00e9 inititi\u00e9e par le client. Les versions 0.9.8m et\nsup\u00e9rieures r\u00e9activent cette fonctionnalit\u00e9. Il revient alors \u00e0\nl\u0027administrateur de s\u0027assurer que les applications proposant un canal\nchiffr\u00e9 avec OpenSSL sont configur\u00e9es pour refuser les demandes de\nren\u00e9gociation des cl\u00e9s de session. Par exemple, le module mod_ssl de\nApache rejette ces demandes dans les versions r\u00e9centes.\n\nPour l\u0027impl\u00e9mentation de Microsoft Windows (Schannel), les mises \u00e0 jour\nde Schannel.dll sont document\u00e9es dans l\u0027avis de s\u00e9curit\u00e9 Microsoft\nKB977377.\n\nCes mises \u00e0 jour d\u00e9sactivent par d\u00e9faut la ren\u00e9gociation de cl\u00e9s de\nsession initi\u00e9e par le client. Il est important de bien noter que les\nvuln\u00e9rabilit\u00e9s adress\u00e9es par ces mises \u00e0 jour ne sont pas li\u00e9es aux\nexploitations malveillantes par d\u00e9ni de service d\u00e9crites dans cette\nalerte.\n\nCette mesure permet de pr\u00e9venir l\u0027exploitation la plus efficace de cette\nvuln\u00e9rabilit\u00e9.\n\n## 5 -.2 Surveillance et limitation des connexions TCP\n\nL\u0027autre technique ici utilis\u00e9e est un d\u00e9ni de service plus classique\nreposant sur la multiplication des connexions au serveur et le\nd\u00e9clenchement de traitements co\u00fbteux pour le serveur (ici\nl\u0027\u00e9tablissement de sessions SSL/TLS).\n\nDans ce contexte, il convient de recourir au moyen habituels de\npr\u00e9vention de ce risque\u00a0:\n\n-   Augmentation des capacit\u00e9s du serveur\n\n    L\u0027attaque reposant sur l\u0027attrition des ressources du serveur, il\n    peut suffir d\u0027augmenter significativement les capacit\u00e9s de\n    traitement afin de pouvoir absorber la charge de l\u0027attaque sans\n    impacter la charge normale de l\u0027application.\n\n-   Limitation du nombre de connexions\n\n    L\u0027application de mesures de limitation du nombre de connexions TCP\n    simultan\u00e9es va efficacement limiter l\u0027acc\u00e8s de l\u0027attaquant aux\n    ressources du serveur et ainsi pr\u00e9venir l\u0027attaque.\n\n-   Utilisation de mat\u00e9riel sp\u00e9cialis\u00e9 type Hardware Security Module\n    (HSM)\n\n    Des mat\u00e9riels sp\u00e9cialis\u00e9s type HSM permettent d\u0027augmenter\n    significativement le nombre de n\u00e9gociations SSL/TLS r\u00e9alis\u00e9\u00e9es par\n    unit\u00e9 de temps et donc la r\u00e9sistance aux attaques. Lorsque ces\n    boitiers sont utilis\u00e9s, il est important de s\u0027assurer que les\n    protocoles accept\u00e9s par l\u0027application c\u00f4t\u00e9 serveur sont bien\n    acc\u00e9l\u00e9r\u00e9s par ce mat\u00e9riel. En effet, si un protocole n\u00e9goci\u00e9 entre\n    le client et le serveur n\u0027est pas acc\u00e9l\u00e9r\u00e9 alors la protection\n    apport\u00e9e par le dispositif n\u0027est plus efficace.\n",
  "cves": [],
  "links": [
    {
      "title": "Avis de s\u00e9curit\u00e9 Microsoft: Une vuln\u00e9rabilit\u00e9 de TLS/SSL    pourrait permettre l\u0027usurpation d\u0027identit\u00e9",
      "url": "http://support.microsoft.com/kb/977377/fr"
    },
    {
      "title": "Bulletin d\u0027actualit\u00e9 CERTA-2009-ACT-046",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-046"
    },
    {
      "title": "ChangeLog OpenSSL",
      "url": "http://openssl.org/news/changelog.html"
    },
    {
      "title": "Avis CERTA-2009-AVI-482",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-482"
    }
  ],
  "reference": "CERTA-2011-ALE-005",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2011-10-27T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "D\u00e9ni de service \u00e0 distance"
    }
  ],
  "summary": "Le CERTA constate un int\u00e9r\u00eat renouvel\u00e9 pour l\u0027exploitation malveillante\nde la fonctionnalit\u00e9 de ren\u00e9gociation de cl\u00e9s de session du protocole\nSSL/TLS afin de provoquer un d\u00e9ni de service.\n",
  "title": "Exploitation malveillante d\u0027une fonctionnalit\u00e9 du protocole SSL afin de provoquer un d\u00e9ni de service",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.