當前位置:首頁 > 廠商動態(tài) > 新思科技(Synopsys)
[導讀]身份認證可以保護用戶隱私,但是網(wǎng)絡攻擊者也在想方設法繞過密碼檢查,如果軟件本身就有明顯漏洞,風險則會更大。

身份認證可以保護用戶隱私,但是網(wǎng)絡攻擊者也在想方設法繞過密碼檢查,如果軟件本身就有明顯漏洞,風險則會更大。CVE-2020-28052披露在Bouncy Castle輕量級密碼術(shù)包的OpenBSDBcrypt類中發(fā)現(xiàn)繞過身份驗證的漏洞,攻擊者可以避開密碼檢查。

概述

新思科技網(wǎng)絡安全研究中心(CyRC)研究人員發(fā)現(xiàn)了CVE-2020-28052漏洞,即廣泛使用的Java密碼庫Bouncy Castle中的OpenBSDBcrypt類的繞過身份驗證的漏洞。該類實現(xiàn)了用于密碼哈希的Bcrypt算法。攻擊者可以在使用Bouncy Castle的OpenBSDBcrypt類的應用程序中繞過密碼檢查。

在提交(00dfe74aeb4f6300dd56b34b5e6986ce6658617e)中引入了OpenBSDBcrypt.doCheckPassword方法中的該漏洞。

doCheckPassword方法的驗證程序?qū)崿F(xiàn)是有缺陷的。該代碼檢查值為0到59(包括0和59)字符在字符串中的索引,而不是檢查在字符串中0到59之間位置的字符值是否匹配。這意味著一系列密碼,其生成的哈希(例如,哈希值不包含介于0x00和0x3B之間的字節(jié))會與其它不包含這些字節(jié)的密碼哈希匹配。通過此檢查意味著攻擊者不需要與存儲的哈希值逐字節(jié)匹配。

新思科技網(wǎng)絡安全研究中心發(fā)現(xiàn)Bouncy Castle中的漏洞

在使用Bcrypt.doCheckPassword()檢查密碼的大多數(shù)情況下,成功地利用漏洞將繞過身份驗證。

漏洞利用

攻擊者必須嘗試暴力破解密碼,直到觸發(fā)繞過身份驗證。我們的實驗表明,20%的測試密碼在1,000次內(nèi)嘗試中被成功繞過。某些密碼哈希需要進行更多嘗試,具體取決于字符值在0到60之間(1到59)的字節(jié)數(shù)。此外,我們的調(diào)查表明,通過足夠的嘗試可以繞過所有密碼哈希。在極少數(shù)情況下,任何輸入都可以繞過一些密碼哈希。

受影響的軟件

CVE-2020-28052漏洞影響了Bouncy Castle 1.65(發(fā)布于2020年3月31日)和Bouncy Castle 1.66(發(fā)布于7/4/2020)。

Bouncy Castle 1.67(發(fā)布于2020年11月1日)修復了此漏洞。 1.65之前的版本不受CVE-2020-28052漏洞的影響。

注:基于漏洞披露,新思科技研究了其產(chǎn)品,發(fā)現(xiàn)在該披露發(fā)布之時沒有產(chǎn)品使用過Bouncy Castle版本1.65或1.66。

影響

基于哈希的Bcrypt身份驗證可應用在身份驗證檢查,如在Web應用程序和API中身份驗證檢查。

CVSS 3.1 評分

Bouncy Castle是一個軟件庫。在確定通用漏洞評分系統(tǒng)(CVSS)分數(shù)時,假定了以下最壞情況(遵循FIRST CVSS軟件庫評分準則):

Bcrypt哈希用于檢查用戶提供的密碼。一旦觸發(fā)了繞過身份驗證,攻擊者就可以執(zhí)行與合法用戶相同的操作(例如,獲得SSO,即single-sign-on,單次登錄系統(tǒng),管理員級別的訪問權(quán)限)。

Vector: ?AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H/E:P/RL:O/RC:C

評分: 8.1

漏洞可利用性指標:

攻擊途徑Attack Vector (AV): N = Network 網(wǎng)絡

攻擊復雜程度Attack Complexity (AC): H = High 高

所需權(quán)限Privileges Required (PR): N = None 無

用戶交互User Interaction (UI): N = None 無

范圍Scope (S): C = Changed scope 范圍變更

影響指標

機密性影響Confidentiality Impact (C): H = High impact 影響大

完整性影響Integrity Impact (I): H = High impact 影響大

可用性影響Availability Impact (A): H = High impact 影響大

修復

強烈建議該庫的軟件供應商和用戶升級到Bouncy Castle Java版本1.67或更高版本。

漏洞發(fā)現(xiàn)者

一組位于芬蘭奧盧的新思科技網(wǎng)絡安全研究中心的研究人員發(fā)現(xiàn)了此漏洞:

Matti Varanka

Tero Rontti

新思科技感謝Bouncy Castle團隊及時地響應并修復此漏洞。

時間線

2020年10月20日:發(fā)現(xiàn)該Bouncy Castle漏洞

2020年10月22日:新思科技確認沒有產(chǎn)品使用此漏洞影響的版本

2020年10月27日:新思科技揭露Bouncy Castle的漏洞

2020年10月28日:Bouncy Castle確認存在漏洞

2020年11月2日: 新思科技驗證Bouncy Castle修復漏洞

2020年12月17日:發(fā)布修復建議

本站聲明: 本文章由作者或相關機構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點,本站亦不保證或承諾內(nèi)容真實性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫毥谦F公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時1.5...

關鍵字: 汽車 人工智能 智能驅(qū)動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務能7×24不間斷運行,同時企業(yè)卻面臨越來越多業(yè)務中斷的風險,如企業(yè)系統(tǒng)復雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務連續(xù)性,提升韌性,成...

關鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關鍵字: 華為 12nm EDA 半導體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上,華為常務董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關鍵字: 華為 12nm 手機 衛(wèi)星通信

要點: 有效應對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實提質(zhì)增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務引領增長 以科技創(chuàng)新為引領,提升企業(yè)核心競爭力 堅持高質(zhì)量發(fā)展策略,塑強核心競爭優(yōu)勢...

關鍵字: 通信 BSP 電信運營商 數(shù)字經(jīng)濟

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術(shù)學會聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現(xiàn)場 NVI技術(shù)創(chuàng)新聯(lián)...

關鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(shù)(集團)股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關鍵字: BSP 信息技術(shù)
關閉
關閉