FREAK Attack on Export-Grade RSA

针对出口级 RSA 的 FREAK 攻击

Risk: medium

描述

此漏洞表明服务器容易受到 FREAK 攻击，这些攻击利用对弱出口级 RSA 加密的支持来降级 TLS 连接并通过密码分解破解加密。

当服务器接受带有 512 位密钥的 RSA_EXPORT 密码套件（20世纪 90 年代美国出口限制的遗留物）时，就会发生 FREAK（分解 RSA 出口密钥）。脆弱的客户端即使在未被请求的情况下也会错误地接受这些弱密钥，从而允许攻击者强制进行降级攻击并分解弱加密。

工作原理：

1. 中间人攻击者拦截客户端和服务器之间的 TLS 握手。
2. 客户端请求强加密，但攻击者转发请求要求 RSA_EXPORT。
3. 服务器使用弱的 512 位 RSA 密钥进行响应，而不是标准的 2048 位密钥。
4. 脆弱的客户端由于实现错误而接受弱密钥。
5. 攻击者分解 512 位 RSA 密钥（需要数小时/数天）并解密所有流量。

先决条件：

• 服务器必须支持 RSA_EXPORT 密码套件（遗留的出口级加密）。
• 客户端必须具有容易接受弱密钥的脆弱 TLS 实现。
• 中间人网络位置以拦截和修改握手。
• 分解 512 位 RSA 密钥的计算资源。

示例场景： 移动应用通过公共 WiFi 连接到银行 API。攻击者拦截 TLS 握手并欺骗服务器提供 512 位的出口级 RSA 密钥。脆弱的客户端（使用旧版 OpenSSL）接受了这个弱密钥。攻击者花费 8 小时使用云计算资源分解该密钥，然后解密所有后续的 API 流量以窃取身份验证令牌和财务数据。

该漏洞利用了限制密码强度的历史美国出口限制，影响了为了向后兼容而仍支持这些被故意削弱的密码套件的遗留系统。

建议

为了缓解 FREAK 攻击：

主要防御 - 禁用出口密码套件：

# Apache - 禁用导出级密码套件
SSLCipherSuite HIGH:!aNULL:!MD5:!EXP:!RC4

# 更安全的配置
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:!EXP

# Nginx - 禁用导出密码套件
ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:!EXPORT:!DES:!RC4:!MD5:!PSK:!SRP:!CAMELLIA;

更新 TLS 库：

确保所有 TLS 实现均已打补丁： - OpenSSL 1.0.1k+（已修复 CVE-2015-0204） - 更新使用存在漏洞的库的移动应用 - 修补嵌入式系统和 IoT 设备

测试 FREAK 漏洞：

# 测试服务器对导出密码套件的支持
openssl s_client -connect example.com:443 -cipher EXPORT

# 如果配置正确，应失败并显示 "no cipher match"
# 使用 SSL Labs 进行测试
curl "https://api.ssllabs.com/api/v3/analyze?host=example.com"

客户端保护：

# Python - 禁用导出密码套件
import ssl
context = ssl.create_default_context()
context.set_ciphers('ECDHE+AESGCM:ECDHE+CHACHA20:DHE+AESGCM:DHE+CHACHA20:!aNULL:!MD5:!DSS:!EXPORT')

其他缓解措施：

• 使用 TLS 1.3，它完全移除了对出口密码的支持
• 使用 ECDHE/DHE 密钥交换实现完美前向保密 (PFS)
• 定期审计密码套件配置以查找弱算法
• 监控表明存在降级尝试的异常 TLS 协商模式

现代浏览器和服务器默认已禁用出口密码，但旧系统和嵌入式设备可能仍然存在漏洞。

链接

• CVE-2015-0204
• FREAK Attack Site
• Technical Analysis

标准

• SOC2_CONTROLS:
  • CC_6_7
  • CC_7_1
• CCPA:
  • CCPA_1798_150
• GDPR:
  • ART_32
• PCI_STANDARDS:
  • REQ_4_1
  • REQ_6_2
  • REQ_11_3