Бесплатно Экспресс-аудит сайта:

21.10.2014

Эксперты: 1737 приложений уязвимы к Poodle

Как  сообщил  производитель программного обеспечения Netskope, по данным на 19 октября нынешнего года свыше 1737 SaaS приложений поддерживают протокол SSL 3.0 и, как результат, содержат уязвимость Poodle. Стоит отметить, что количество уязвимых программ стремительно уменьшается, поскольку по состоянию на 15 октября эта цифра достигала 3562.

Пользователям, работающим с уязвимыми приложениями, эксперты рекомендуют отключить SSL 3.0 и проверить устройства на проявления подозрительной активности, к примеру, попыток эксплуатации уязвимости с использованием режима CBC или большого количества неудачных соединений и сообщений об ошибках сервера в течение очень короткого периода времени.

Напомним , что уязвимость в протоколе SSL 3.0, получившая название Poodle, была обнаружена экспертами Google на прошлой неделе. Эксплуатация бреши позволяет осуществить атаку «человек посередине» и получить доступ к зашифрованной информации. Для успешного осуществления атаки требуется несколько условий (устаревшая версия клиента и возможность модифицирования трафика между клиентом и сервером), однако, учитывая современные ресурсы, это не является проблемой для злоумышленников.

Тщательно создавая и отправляя большое количество запросов к серверу, преступник может извлечь различные части соединения по HTTP-протоколу. Это могут быть ключевые значения файлов cookie, заголовки аутентификации и т.д. Далее злоумышленник может получить доступ к данным и похитить их.