CVE-2020-13777 é uma vulnerabilidade no GnuTLS, um amplamente adotado, biblioteca de código aberto que implementa Transport Layer Security.
A vulnerabilidade está presente na biblioteca há quase dois anos, retomando TLS 1.3 sessões vulneráveis a ataques. a vulnerabilidade, introduzido no GnuTLS 3.6.4 em setembro, 2018 foi abordado no GnuTLS 3.6.14 em Junho 3, 2020.
CVE-2020-13777 Explicado
O bug permitiu que os servidores GnuTLS utilizassem tickets de sessão emitidos durante um TLS seguro anterior 1.3 sessão, sem acessar a função que gera chaves secretas:
gnutls_session_ticket_key_generate()
Os invasores que exploram a vulnerabilidade CVE-2020-13777 podem burlar a autenticação sob TLS 1.3, recuperando assim conversas anteriores sob TLS 1.2.
De acordo com o pesquisador de segurança conhecido sob o Airtower apelido:
Os servidores GnuTLS podem usar tickets emitidos um pelo outro sem acesso à chave secreta gerada por gnutls_session_ticket_key_generate(). Isso permite que um servidor MITM sem credenciais válidas retome as sessões com um cliente que primeiro estabeleceu uma conexão inicial com um servidor com credenciais válidas. O problema se aplica ao TLS 1.3, ao usar TLS 1.2 retomada falha conforme o esperado.
O pesquisador primeironotei o problema com o Ubuntu versão 3.6.13-2ubuntu1, e reproduzi-lo com uma compilação do master a partir de 52e78f1e.”
Alguns pesquisadores de segurança têm argumentado que o GnuTLS deve ser removido como uma dependência, com muitos expressando seu desdém contra a biblioteca, como apontado por TheRegister.
O dicionário MITRE CVE fornece a seguinte descrição da vulnerabilidade:
GnuTLS 3.6.x antes 3.6.14 usa criptografia incorreta para criptografar um tíquete de sessão (perda de confidencialidade no TLS 1.2, e um desvio de autenticação no TLS 1.3). A versão afetada mais antiga é 3.6.4 (2018-09-24) por causa de um erro em um 2018-09-18 comprometer. Até a primeira rotação da tecla, o servidor TLS sempre usa dados incorretos no lugar de uma chave de criptografia derivada de um aplicativo.
Não há mitigação conhecida contra o problema, O comunicado da RedHat diz.