威胁快报|首爆新型TLS 1.2协议漏洞

　　对于安全加密通信，传输层安全协议(SSL/TLS)的重要性不言而喻。如今的TLS协议不仅被用于传输层通讯，更作为一个标准的加密保护协议被广泛应用于 FTP, 电子邮件和VPN等领域，时刻保护着我们网络通信的安全。

　　上周一个新的加密攻击被披露，它可以攻破加密的TLS流量，允许攻击者拦截并窃取以前认为安全可靠的数据。这两个被披露的新的TLS协议漏洞被命名为“Zombie POODLE”和“ GOLDENDOODLE(CVE)” 使用Zombie POODLE，能够在Citrix负载均衡器中恢复POODLE攻击，与此同时，GOLDENDOODLE是一种类似的攻击，但具有更强大，更快速的加密黑客攻击性能。

　　在Alexa排名前100万的网站中，约有2000个网站易受Zombie POODLE的攻击，约1000个网站易受GOLDENDOODLE的攻击，还有数百个网站仍易受五年前就被曝出的旧漏洞POODLE的攻击。

　　此攻击所需条件：

　　1 HTTPS服务端使用了CBC密码套件

　　2 在被攻击客户端和被攻击服务器之间创建中间人通道MITM，如建立恶意WiFi热点，或者劫持路由器等中间网络设备

　　3 攻击者通过植入用户访问的非加密网站上的代码，将恶意JavaScript注入受害者的浏览器。

　　4 恶意脚本构造特定的HTTPS请求加密网站，结合中间人旁路监听加密数据，多次请求后即可获得加密数据中的Cookie和凭证。

　　亚洲诚信作为互联网安全SSL/TLS领域的资深技术团队，率先推出应对策略：

　　1 确保全站HTTPS完整性，杜绝引入不安全的外链(HTTP脚本资源，尤其是JavaScript脚本)，可以通过亚洲诚信提供的MySSL企业版进行不安全外链监控。

　　2 检查服务器，避免使用RC4和CBC等不安全密码套件，通过MySSL.com上检测，支持的加密套件中避免出现弱密码和包含CBC的密码套件。

　　3 涉及敏感信息或者重要商业数据的系统加强异常状况监测和巡查，并保持符合HTTPS最佳安全实践。可前往https://MySSL.com获取HTTPS最佳实践白皮书。

　　另外: 为帮助易受攻击的网站更好的防范和应对此次威胁，亚洲诚信对业界提供了7*24小时在线咨询，可以通过关注微信公众号[亚洲诚信TrustAsia]获取技术支持。