또라이

FREAK
특이한 사람을 가리키는 용어에 대해서는 Freak를 참조하십시오.기타 용도는 Freak(동음이의)참조하십시오.
또라이
CVE 식별자CVE-2015-0204(OpenSSL),

CVE-2015-1637(스캐널),

CVE-2015-1067(시큐어 트랜스포트)
발견된 날짜2015년 3월 3일, 7년 전(2015-03-03)
디스커버IMDEA 소프트웨어 연구소, INRIA, Microsoft Research
해당 소프트웨어클라이언트 TLS 라이브러리(OpenSSL, Schannel 및 Secure Transport 포함)

FREA(Factoring RSA Export Keys)는 수십 년 전에 미국 암호화 수출 규정을 준수하기 위해 도입된 SSL/TLS 프로토콜의 암호화 약점을 이용한 보안 공격입니다.여기에는 RSA 모듈리가 512비트 이하인 공개 쌍(이른바 RSA_EXPORT 키)만 사용하도록 내보내기 가능한 소프트웨어를 제한하여 NSA(National Security Agency)에 의해 쉽게 파손될 수 있도록 하는 것이 포함되었지만 컴퓨팅 리소스가 적은 다른 조직에는 적용되지 않았습니다.그러나 2010년대 초까지 컴퓨팅 능력이 향상됨에 따라 Number Field Sieve 알고리즘을 사용하여 비교적 가벼운 컴퓨팅 자원에 접근할 수 있는 사람이라면 누구나 클라우드 컴퓨팅 서비스를 100달러 이상 사용할 수 있게 되었습니다.접속 엔드포인트 간의 초기 암호 스위트네고시에이션을 조작하는 man-in-the-middle 공격 기능과 Finished 해시가 마스터비밀에만 의존한다는 사실을 조합하면 man-in-the-middle 공격이 적은 양의 계산만으로 웹 사이트의 보안을 해칠 수 있습니다.는 512비트 내보내기 등급 키의 사용을 나타내고 있습니다.이 취약성은 2015년에야 발견되었지만, 1990년대까지 거슬러 올라가 수 년 동안 존재했습니다.

취약성

이 결함은 IMDEA 소프트웨어 연구소, INRIA마이크로소프트 [1][2]리서치의 연구자들에 의해 발견되었다.OpenSSL의 FREAK 공격은 식별자가 CVE-2015-0204입니다.[3]

취약한 소프트웨어 및 장치에는 Apple의 Safari 브라우저, Google의 Android 운영 체제의 기본 브라우저, Microsoft의 Internet Explorer 및 [4][5]OpenSSL이 포함됩니다.또한 MicrosoftShannel의 트랜스포트 레이어 암호화 구현이 Microsoft [6]Windows의 모든 버전에서 FREAK 공격에 취약하다고 밝혔습니다.섀널에 대한 Microsoft 취약성의 CVE ID는 CVE-2015-1637입니다.[7]Secure Transport에서 Apple의 취약성에 대한 CVE ID는 CVE-2015-1067입니다.[8]

이 취약성의 영향을 받는 사이트에는 미국 연방정부 웹사이트 fbi.gov, whitehouse.gov 및 [9]nsa.gov가 있으며,[10] 한 보안 그룹에 의해 테스트된 HTTPS 사용 웹사이트의 약 36%가 악용에 취약한 것으로 나타났습니다.IP2Location LITE를 사용한 지리 위치 분석에 따르면 취약한 서버의 35%가 [11]미국에 있습니다.

이 공격에 대한 언론 보도는 그 영향을 "잠재적으로 치명적"[12]이며 암호화 [9]기술의 확산을 통제하려는 미국 정부의 노력의 "의도하지 않은 결과"라고 표현했습니다.

2015년 3월 현재 공급업체는 [9][10]결함을 해결할 수 있는 새로운 소프트웨어를 출시하고 있습니다.2015년 3월 9일, Apple은 이 결함[13][14]수정한 iOS 8 및 OS X 운영 체제 모두에 대한 보안 업데이트를 발표했습니다.2015년 3월 10일 Microsoft는 지원되는 모든 버전의 Windows(Server 2003, Vista 이상)[15]에서 이 취약성을 수정한 패치를 릴리스했습니다.구글 크롬 41과 오페라 28도 이 [16]결함을 완화했다.Mozilla Firefox는 이 [17]결함에 취약하지 않습니다.

이 결함을 설명하는 연구 논문은 제36회 IEEE 보안 및 프라이버시 심포지엄에서 발표되었으며 Distinguished Paper [18]상을 받았습니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ B. Beurdouche & al (2015-05-18). "A Messy State of the Union: Taming the Composite State Machines of TLS" (PDF). IEEE Security and Privacy 2015.
  2. ^ "State Machine AttACKs against TLS (SMACK TLS)". smacktls.com.
  3. ^ "Vulnerability Summary for CVE-2015-0204". NIST. 20 February 2015.
  4. ^ Thomas Fox-Brewster (2015-03-03). "What The FREAK? Why Android And iPhone Users Need To Pay Attention To The Latest Hot Vulnerability". Forbes.
  5. ^ Steven J. Vaughan-Nichols (2015-03-03). "FREAK: Another day, another serious SSL security hole". ZDNet.
  6. ^ Darren Pauli (6 March 2015). "All Microsoft Windows versions are vulnerable to FREAK". The Register.
  7. ^ "Microsoft Security Advisory 3046015: Vulnerability in Schannel Could Allow Security Feature Bypass". Microsoft. March 5, 2015.
  8. ^ "About the security content of iOS 8.2". apple.com.
  9. ^ a b c Craig Timberg (2015-03-03). "'FREAK' flaw undermines security for Apple and Google users, researchers discover". Washington Post.
  10. ^ a b Dennis Fisher (2015-03-03). "New FREAK Attack Threatens Many SSL Clients". Threatpost.
  11. ^ "FREAK Servers By Country". 2015-03-03.
  12. ^ Dan Goodin (3 March 2015). ""FREAK" flaw in Android and Apple devices cripples HTTPS crypto protection". Ars Technica.
  13. ^ "About Security Update 2015-002". Apple. March 9, 2015.
  14. ^ "About the security content of iOS 8.2". Apple. March 9, 2015.
  15. ^ "Microsoft Security Bulletin MS15-031 - Important". Microsoft. March 10, 2015.
  16. ^ "State Machine AttACKs against TLS (SMACK TLS)". smacktls.com.
  17. ^ "Microsoft Admits Windows Users Are Vulnerable to FREAK Attacks". eweek.com.
  18. ^ "IEEE Distinguished Paper award for A Messy State of the Union: Taming the Composite State Machines of TLS". 2015-05-18.

외부 링크