POODLE (Padding Oracle On Downgraded Legacy Encryption)
အကောင်အစစ်တော့မဟုတ်ဘူး ဒါပေမယ့် ဒီတစ်လလုံး POODLE ကိုက်တာ ကြောင့် Desktop Server Network Security Admin တွေအားလုံးအလုပ်ရှုပ်နေရော၊ Google မှ ပညာရှင်တစ်စုက စတင်တွေ့ရှိတယ်လို့သိရတာပဲ၊ SSL 3.0 သုံးတဲ့ နေရာတိုင်းမှာ ပြဿနာရှိတဲ့အတွက် အကုန်လုံးနဲ့ပက်သက်သွားတာပေါ့၊ အခုနောက်ပိုင်းမှာ TLS ကိုသုံးကြတယ်ဆိုပေမယ့် Browser တွေ၊ Web Server တွေမှာ SSL 3.0 fallback Option တွေကတော့သုံးနေဆဲပါပဲ ဒီတော့ အဲဒီ POODLE ကြောင့် Man in the Middle Attack ဖြစ်လာနိုင်ခြေရှိတဲ့ အတွက် MNC/Enterprise အဖွဲ့အစည်းတွေဟာ ကြောက်ကြောက်နဲ့ လိုက်ပိ်တ်ရတော့တာပဲ၊ Desktop Admin တွေကတော့ Browser ရဲ့ setting မှာ TLS တစ်မျိုးထဲ သုံး ဖို့ပြောင်း၊ Servers သမားတွေအဖို့လဲ Web Servers တွေမှာ TLS ကိုသုံးဖို့ပြင်ကြနဲ့၊ Security ဘက်ကလဲ Firewall တွေမှာ Signature တွေကို Update လုပ် စသဖြင့်ပေါ့၊
Network ပိုင်းမှာတော့ အဓိကအားဖြင့် Proxy, SSL VPN နဲ့Load Balancer မှာပြောင်းရတာပါ၊ Load Balancer တွေဟာ Client ကလာတဲ့ HTTPS request တွေရဲ့ SSL Termination ကိုသူ့ဆီမှာ လုပ်ပီး အနောက်က WebServer ကိုတော့ HTTP နဲ့ပဲချိတ်ဆက်လေ့ရှိပါတယ်၊ ဒီတော့ WebServer ကိုင်တဲ့ဆရာတွေက Network သမားတွေကို အကြပ်ကိုင်တော့တာပဲ၊ ငါတို့ဟာထိရင် မင်းတို့ကြောင့်ပဲဆိုပီးတော့၊ Network ဘက်ကလဲ ကောင်းပီပေါ့ TLS ပဲရမယ်ကျန်တာ ဘာမှမလာနဲ့ဆိုတော့ ပြောင်းပီးသကာလမှာ တစ်ချို့တလေချိတ်မရတော့တာတွေ့ရပါတယ်၊ ဒါကတော့ Client Browser နဲ့ပဲဆိုင်တဲ့အတွက် ဘယ်တတ်နိုင်မလဲ၊
နောက်တစ်ခုက တော့ Network Devices တွေကို Administration လုပ်တဲ့နေရာပါ၊ အများစုဟာ Web/GUI နဲ့သုံးတာများပီး HTTP/HTTPS နဲ့သုံးလို့ရပါတယ်၊ လုံခြုံရေးအရ HTTPS ကိုသုံးကြပါတယ်၊ ဒါပေမယ့် ပြဿနာက တစ်ချို့Devices တွေမှာ TLS Option မပါဘူး၊ Browser မှာ SSL 3.0 ကိုပိတ်ပီးချိတ်ရင်မရတော့ဘူး၊ Cisco Devices တွေကတော့ CLI ပဲသုံးနေကြဆိုတော့၊ Cisco ရဲ့အကြံပေးချက်အရ HTTP server တွေကို Disable လုပ်ပါလို့ပြောတဲ့အတိုင်း လုပ်ရုံပဲ၊ Firewall ကြတော့ အဆင်မပြေဘူး၊ Firewall Policy/Rule တစ်ခုရေးရင် GUI နဲ့ကပိုပီးတော့မြင်သာတယ်၊ CLI ကမြန်ပေမယ့် မှားဖို့လဲများတယ်၊ ဒီတော့ လက်ရှိ Customer ဘက်မှာသုံးနေတဲ့ Juniper နဲ့ Paloalto Firewall က Support TAC ကိုမေးတော့ Juniper ကသူ့တို့မှာလောလောဆယ် TLS မပါသေးဘူး ဒီတော့ CLI သုံးချင်သုံး ဒါမှမဟုတ်ရင် Management IP ကိုသပ်သပ်မှတ်မှတ်ပေးပီးသုံးပါလို့ပြောတယ်၊ Paloalto ကိုတော့ သူတို့Signature update ရပီးဒါပေမယ့် Data plane traffic အတွက်ပဲရမယ်၊ Management Plane အတွက်ကတော့ Management IP ကိုသပ်မှတ်ပီးသုံးပါလို့ပြောတယ်၊
ရီစရာတော့အကောင်းသား၊ သူများကိုကာကွယ်ဘို့ပဲလုပ်ရင်း ကိုယ်တိုင်ကြတော့ မကာကွယ်နိင်တော့ဘူး၊ ဒီတော့ အရင်တုံးကပြောခဲ့သလိုပဲ Management Network ကိုသီးသန့်သုံးခဲ့ရင်တော့ သိပ်ကြောက်စရာမလိုပါဘူး၊ VRF ပါခွဲထားခဲ့မယ်ဆိုရင်တော့ အကောင်းဆုံးပေါ့။ အကုန်လုံးကို SSL 3.0 လိုက်ပြောင်းရာမှာလဲ အခုလိုအဆင်မပြေစရာတွေ တွေ့ရပါတယ်၊ အဲဒီနည်းလမ်းအပြင် တခြားနည်း TLS_FALLBACK_SCSV ကိုအသုံးပြုလို့လဲပြောပါတယ်၊ ဒါပေမယ့်လောလောဆယ် SSL 3.0 ကို မသုံးတာတော့ အကောင်းဆုံးလို့ထင်ရတာပဲ။
စိတ်ဝင်စားသူများအတွက် POODLE အကြောင်းနဲ့Products တစ်ချို့ရဲ့Notice တွေစုပေးထားပါတယ်။
https://www.openssl.org/~bodo/ssl-poodle.pdf
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141015-poodle
http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10656&actp=RSS
https://bto.bluecoat.com/security-advisory/sa83
https://supportkb.riverbed.com/support/index?page=content&id=S25160
https://devcentral.f5.com/articles/cve-2014-3566-removing-sslv3-from-big-ip
http://www.trendmicro.com/vinfo/us/security/news/vulnerabilities-and-exploits/what-to-do-as-experts-reveal-poodle-attack-on-flawed-ssl-3-0
http://blog.trendmicro.com/trendlabs-security-intelligence/poodle-vulnerability-puts-online-transactions-at-risk/
ကိုဖြိုး
No comments:
Post a Comment