または Factoring attack on RSA-EXPORT Keys(FREAK)。 SSL/TLS で「輸出グレード暗号」を受け入れてしまう実装あり。
中間者攻撃(Man-in-the-Middle Attack)により Web サーバへの要求を「輸出グレード暗号(RSA_EXPORT cipher suites)」に書き換えられると、サーバ・クライアントともに「輸出グレード暗号」を受け入れてしまう。
「輸出グレード暗号」の例としては以下の暗号スイートが挙げられる。
TLS_RSA_EXPORT_WITH_RC4_40_MD5(この暗号スイートは RFC7465 で禁止になった)TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5TLS_RSA_EXPORT_WITH_DES40_CBC_SHATLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA
「輸出グレード暗号」は20世紀の暗号輸出規制時代の暗号スイートで、 RSA 512bits, RC2/RC4/DES 40bits と非常に弱い暗号を使っており、現在の計算機パワーでは短時間で破られる可能性がある。 また「輸出グレード暗号」の RSA 鍵は一時鍵として作成されるが、サーバが稼働している間(リブートされるまで)使い回されることがあり、この場合は長期にわたって通信内容の盗聴や改ざんを許すことになる。
対策はサーバとクライアントの両方で必要。 ただし、予想される影響は(今のところは)限定的なので、慌てず計画を立てて対策を実行すること。
CVE-2015-0204, CVE-2015-1637 および CVE-2015-2235 より
CVSS 基本値 5.0 (AV:N/AC:L/Au:N/C:N/I:P/A:N)
| 基本評価基準 | 評価値 |
|---|---|
| 攻撃元区分(AV) | ネットワーク(N) |
| 攻撃条件の複雑さ(AC) | 低(L) |
| 攻撃前の認証要否(Au) | 不要(N) |
| 情報漏えいの可能性(機密性への影響, C) | なし(N) |
| 情報改ざんの可能性(完全性への影響, I) | 部分的(P) |
| 業務停止の可能性(可用性への影響, A) | なし(N) |
CVSS 基本値 7.8 (AV:N/AC:L/Au:N/C:C/I:N/A:N)
| 基本評価基準 | 評価値 |
|---|---|
| 攻撃元区分(AV) | ネットワーク(N) |
| 攻撃条件の複雑さ(AC) | 低(L) |
| 攻撃前の認証要否(Au) | 不要(N) |
| 情報漏えいの可能性(機密性への影響, C) | 全面的(C) |
| 情報改ざんの可能性(完全性への影響, I) | なし(N) |
| 業務停止の可能性(可用性への影響, A) | なし(N) |
以下の実装以外での影響は不明
-
OpenSSL の一部のバージョン (CVE-2015-0204): 2015年1月の更新で修正済み(GitHub の履歴)
- 0.9.8zd より前のバージョン
- 1.0.0 系で 1.0.0p より前のバージョン
- 1.0.1 系で 1.0.1k より前のバージョン
-
Microsoft Schannel (CVE-2015-1637): MS15-031 が登場。 Windows 2003 サーバでも効きます。
- Windows Server 2003 Service Pack 2
- Windows Vista Service Pack 2
- Windows Server 2008 Service Pack 2
- Windows 7 Service Pack 1
- Windows Server 2008 R2 Service Pack 1
- Windows 8/8.1
- Windows Server 2012
- Windows Server 2012 R2
- Windows RT (8.1)
- Server Core インストール オプション
SA 3046015 に書かれている(gpedit.msc を用いて暗号スイートを指定する)回避策を実施している場合は MS15-031 を適用する前に回避策を解除して下さい。
セキュリティ アドバイザリ 3046015 で説明されている最初の回避策を適用したシステムに MS15-031 のセキュリティ更新プログラム 3046049 を適用すると、大多数のインターネット サービスが利用できなくなる場合があります。
とのことです(「2015 年 3 月のセキュリティ情報 (月例) - MS15-018 ~ MS15-031 - 日本のセキュリティチーム」より)。
-
Google が提供する BoringSSL の 2014-11-10 以前のバージョン
-
LibreSSL の 2.1.2 より前のバージョン
-
Chrome 41 より前のバージョン(Android 版もリリース)
-
AOSP(Android Open Source Project)版ブラウザについては端末ベンダに対してはパッチを配布済みだそうだ。ただし、個々の端末についてパッチを適用するかどうかは端末ベンダ次第なので、(端末ベンダでサポートされないのなら)他の安全なブラウザを使うことを強く推奨(AOSP 版ブラウザは他にもいくつか脆弱性があることが指摘されているが、 Google のサポートが終了しているため、多くの端末で放置状態)
-
Safari (SecureTransport CVE-2015-2235) は iOS 8.2 および OS X Mountain Lion v10.8.5, Mavericks v10.9.5, Yosemite v10.10.2 で修正済み
-
AppleTV は 7.1 で修正済み
-
Opera 28 (on Mac OS X and Android) より前のバージョン(28 で修正済み)
-
Blackberry Browser
-
Mono は修正パッチが提供されている。 3.12.1 では修正済み
ブラウザ側は “FREAK Attack: Client Check” ページでチェックできる(先頭にチェック結果が出る。 proxy 経由ではうまくいかないとの報告あり)。 また “SSL Client Test” ページでは FREAK を含めた総合的なチェックを行う。
サーバ側は “SSL Server Test” ページでチェックできる(FREAK 以外にも総合的にチェックしてくれる)。
OpenSSL のコマンドでテストを行う。
% openssl s_client -connect [target site]:443 -cipher EXPORTこのコマンド結果がエラーにならない場合は影響を受ける。
- State Machine AttACKs against TLS (SMACK TLS): SKIP-TLS 脆弱性についても注意
- Tracking the FREAK Attack: FREAK の影響を受けるサーバ一覧あり。非常に多くのサーバが影響を受けていることがわかる。日本の企業・組織のドメインも多くみられる。
- A Few Thoughts on Cryptographic Engineering: Attack of the week: FREAK (or 'factoring the NSA for fun and profit')
- セキュリティホール memo の記事
- FREAK についてまとめてみた - piyolog
- 90年代から見過ごされてきた深刻な脆弱性“FREAK”発見―Appleはいち速く修整を約束 - TechCrunch
- SSLの深刻な脆弱性「FREAK」が明らかに--ウェブサイトの3分の1に影響か - ZDNet Japan
一般的にウェブサイトでは、1回のセッションで輸出グレードのRSA鍵は1つしか生成されない。そして、mod_sslを使うApacheのように、ウェブサーバがリブートされるまで、ウェブサイトではその鍵が再利用される。したがって、あるサイトが一度侵入された場合、何日、何週間、あるいは何カ月にもわたって侵入されている可能性が高い。
- JVNVU#98974537: OpenSSL に複数の脆弱性:
- JVNDB-2015-001009 - OpenSSL の s3_clnt.c の ssl3_get_key_exchange 関数における RSA-to-EXPORT_RSA ダウングレード攻撃を実行される脆弱性
- アップルとグーグル、「FREAK」脆弱性のパッチを準備中 - ZDNet Japan
Android用パッチの配布は、Appleよりも遅れる見通しである。GoogleがReutersに語ったところによると、Androidのパートナー各社にはすでにパッチが配布されているとのことだが、それらのパートナー企業がエンドユーザーにパッチを配布するのかどうか、配布するとしたらいつになるのかは公表されていない。
- 華麗なる因数分解:FREAK攻撃の仕組み - ぼちぼち日記: FREAK を使った攻撃手順を分かりやすく解説。
本来この512bit長の一時的RSAによる鍵交換は、EXPの暗号方式だけに適応されるものでした。しかしOpenSSLでは、EXPでない暗号方式でも利用ができるよう独自に拡張を行っていました。今回のFREAK攻撃は、OpenSSLのこの独自拡張を突いたものでした。
- Microsoft、「FREAK」の脆弱性発覚で対応を説明 - ITmedia エンタープライズ
- セキュリティアドバイザリ 3046015 「Schannel の脆弱性により、セキュリティ機能のバイパスが起こる」を公開 - 日本のセキュリティチーム
なお、現時点で確認されている攻撃手法においては攻撃をを成功させるために、サーバーが 輸出用RSA 鍵交換の暗号化スイートをサポートしていることが必要条件です。Windows サーバーは、既定の設定では、輸出用RSA 鍵交換の暗号化スイートを利用しないため、攻撃の影響を受けません。
This is a general class of attack I call "security rollback" attacks. Basically, the attacker forces the system users to revert to a less secure version of their protocol. Think about the last time you used your credit card. The verification procedure involved the retailer's computer connecting with the credit card company. What if you snuck around to the back of the building and severed the retailer's phone lines? Most likely, the retailer would have still accepted your card, but defaulted to making a manual impression of it and maybe looking at your signature. The result: you'll have a much easier time using a stolen card.
- SecurityAnnouncement-FREAK – OpenVPN Community
- TLS/SSLの脆弱性「FREAK」がOpenVPNに与える影響について « yamata::memo
- Vulnerability Note VU#243585 - SSL/TLS implementations accept export-grade RSA keys (FREAK attack)
- JVNVU#99125992: SSL/TLS の実装が輸出グレードの RSA 鍵を受け入れる問題 (FREAK 攻撃)
- About the security content of iOS 8.2 - Apple Support
- About the security content of Apple TV 7.1 - Apple Support
- About Security Update 2015-002 - Apple Support
- TLS Vulnerabilities | Mono
- Dealing with FREAK and SuperFish - Opera Security: Opera 28 が正式リリース。 FREAK と SuperFish まわりの問題が改修されている模様。
- アップル、シスコなど各社、「FREAK」脆弱性に相次いで対応 - ZDNet Japan: あぁ、組み込み機器もあるんだよなぁ...
CiscoはOpenSSLを使用する多くの自社製品が、FREAKを含む、OpenSSLに発見された複数の脆弱性の影響を受けることを認めた。同社では脆弱性を修正するパッチをリリースしたが、現在も幾つかの製品に対する脆弱性の影響を調査中で、対象には「Jabber」「TelePresence」、各種ルータ製品、各種セキュリティ製品などが含まれる。