Citrix发现SSL 3.0协议的后续版本TLS 1.2协议存在漏洞，该漏洞允许攻击者滥用Citrix的交付控制器(ADC)网络设备来解密TLS流量。

Tripwire漏洞挖掘研究小组的计算机安全研究员克雷格?杨(Craig Yang)称：“TLS 1.2存在漏洞的原因主要是由于其继续支持一种过时已久的加密方法：密码块链接(cipher block-chaining, CBC)，该漏洞允许类似SSL POODLE的攻击行为。此外，该漏洞允许中间人攻击（简称：MITM攻击）用户的加密Web和VPN会话。”

受到漏洞影响的供应商之一是Citrix，它也是第一个发布该漏洞补丁的厂商(CVE-2019-6485)。Citrix方面称，该漏洞可能允许攻击者滥用Citrix的交付控制器(ADC)网络设备来解密TLS流量。

Citrix相关负责人称：“Citrix产品的安全性是至关重要的，我们非常重视所有潜在的漏洞。为了防止POODLE攻击事件的再次发生，我们已经应用了适当的补丁来缓解这个问题。此外，我们也建议客户采取必要的行动来保护他们正在使用的平台。”

Yang将这两个新漏洞命名为“Zombie POODLE”和“ GOLDENDOODLE（CVE）”。Citrix已经针对这两个漏洞对负载平衡器进行了修复，期间他们发现这些系统并没有完全抛弃过时的加密方法，这也是这次让该厂商陷入漏洞危机的最大原因之一。

Yang拒绝透露目前使用TLS 1.2协议的其他厂商，但他认为这些产品会获取Web应用程序防火墙、负载平衡器权限和远程访问SSL vpn，一旦遇到上述漏洞会造成十分严重的隐私泄露问题。

但是，Yang警告称GOLDENDOODLE具有更强大和快速的密码破解性能，即使供应商已经完全消除了最初的POODLE缺陷，它仍然可能受到此类攻击。因为这两个新的漏洞基于5年前在旧的SSL 3.0加密协议中发现并修补的一个主要设计缺陷。

根据Yang的在线扫描结果，在Alexa排名前100万的网站中，约有2000个网站易受Zombie POODLE的攻击，约1000个网站易受GOLDENDOODLE的攻击，还有数百个网站仍易受五年前就被曝出的旧漏洞POODLE的攻击。

“这个问题应该在四五年前就得到解决，”Yang称，一些供应商要么没有完全消除对老密码和不太安全的密码支持，要么没有完全修补POODLE攻击本身的缺陷。例如，Citrix并没有完全修补原来的POODLE攻击，这为下一代POODLE攻击留下了空间。

当然，核心问题是HTTPS的底层协议(首先是SSL，现在是TLS)没有正确地清除过时且不太安全的旧加密方法。对这些较旧协议的支持(主要是为了确保较旧的遗留浏览器和客户机不会被网站锁定)也会使网站变得脆弱。

据悉，Zombie POODLE和GOLDENDOODLE（CVE）漏洞允许攻击者重新排列加密的数据块，并通过一个侧边通道查看明文信息。

攻击是这样进行的：例如，攻击者通过植入用户访问的非加密网站上的代码，将恶意JavaScript注入受害者的浏览器。一旦浏览器被感染，攻击者可以执行MITM攻击，最终从安全的Web会话中获取受害者的cookie和凭证。

责任编辑：焦旭