TLS加密協定竟然也不安全!今年10月發現對SSL 3.0協定造成重大影響的「貴賓狗」(Poodle)漏洞,在這個月爆出竟也能影響TLS協定。面對可能的漏洞攻擊與威脅,企業應透過弱點掃描、滲透測試等資安檢測,主動掌握各種安全漏洞與惡意行為,於第一時間將風險降至最低。
雖然HTTPS已採用較安全的TLS加密協定,但為了滿足向下相容的需求,仍然會支援SSL 3.0這個已有18年古老歷史的協定。今年10月發現的Poodle漏洞,讓駭客可以將使用者瀏覽器與HTTPS網站間的加密連線,從原本較安全的TLS加密協定,強迫降級到老舊不安全的SSL 3.0協定,這等於讓原本以為安全無虞的加密連線內容有被破解的可能,駭客只要透過Poodle漏洞發送大量的SSL 3.0訊息,便能獲取瀏覽器加密Cookie中的帳號、密碼。
原本以為只影響SSL 3.0協定的Poodle漏洞,12月初更出現在一些沒對TLS架構進行適當檢查的服務上,例如舊版Mozilla NSS服務、知名大廠負載平衡產品所執行的TLS加密連線,顯示遭受Poodle漏洞攻擊的範圍有擴大的跡象。接續Hearbleed、Shellshcok,Poodle成為下一個不可忽視的重大網站安全漏洞。
SSL/TLS安全協定是電子商務營運上的重要基礎,Poodle漏洞的出現,對網站交易安全造成極大威脅,說明了漏洞攻擊防護已成為企業不可忽視的防護要項。企業須透過弱點掃描與滲透測試,確實掌握企業內部系統與網站的漏洞及風險,並予以適當的補強,全面提升整體安全與防護能量。
更多企業資安解決方案訊息,可參考中華電信企業資安服務: