Golang TLS双向身份认证DoS漏洞分析

一、前言

如果程序源代码使用Go语言编写，并且用到了单向或者双向TLS认证，那么就容易受到CPU拒绝服务（DoS）攻击。Go语言的crypto/x509标准库中的校验算法存在逻辑缺陷，攻击者可以精心构造输入数据，使校验算法在尝试验证客户端提供的TLS证书链时占用所有可用的CPU资源。

为了保护正常服务，大家应立即升级到G0 v1.10.6、v1.11.3或者更新版本。

二、研究背景

42Crunch的API Security平台后端采用的是微服务架构，而微服务使用Go语言编写。微服务之间通过相互通信，并且部署了REST API网关用于外部调用。为了确保安全性，我们遵循了“TLS everywhere”（处处部署TLS）原则，广泛采用了TLS双向认证机制。

Go的标准库原生支持SSL/TLS认证，也支持大量与连接处理、验证、身份认证等方面有关的x509和TLS原语。这种原生支持可以避免外部依赖，使用标准化的、经过精心维护和审核的TLS库也能降低安全风险。

因此42Crunch很有可能受此TLS漏洞影响，需要理解漏洞原理，保证42Crunch平台的安全性。

42Crunch安全团队针细致分析了该CVE，如下文所示。

三、问题描述

这个DoS问题最早由Netflixx发现，Golang在issue跟踪日志中提到：

包负责解析并验证X.509编码的密钥和证书，正常情况下会占用一定的资源来处理攻击者提供的证书链。

包并没有限制验证每个证书链时所分配的工作量，攻击者有可能构造恶意输入，导致CPU拒绝服务。Go TLS服务器在接受客户端证书或者TLS客户端在验证证书时会受此漏洞影响。

该漏洞具体位于crypto/x509 Certificate.Verify()函数的调用路径中，该函数负责证书认证及验证。

四、漏洞分析

背景知识

为了便于漏洞分析，我们举个简单的例子：TLS客户端连接至TLS服务器，服务器验证客户端证书。

TLS服务器在端口监听TLS客户端请求，验证客户端证书是否由证书颁发机构（CA）颁发：

在标准的TLS验证场景中，TLS客户端会连接到TLS服务器的端口，然后向服务器提供证书的“trust chain”（信任链），其中包括客户端证书、root CA证书以及中间所有CA证书。TLS服务器处理TLS握手，验证客户端证书，检查客户端是否可信（即客户端证书是否由服务器信任的CA签名）。通常TLS握手过程如下图所示：

分析Go语言的库，最终我们会进入函数代码段：

根据代码，服务器会处理收到的客户端证书，然后调用函数。如果需要验证客户端证书，服务器就会创建一个结构，其中包含如下信息：

root CA池，即已配置的一系列可信CA（由服务器控制），用来验证客户端证书

中间CA池，即服务端收到的一系列中间CA（由客户端控制）

已签名的客户端证书（由客户端控制）

其他字段（可选项）

为了澄清问题机理，我们需要理解服务端如何管理证书池，以便通过高效的方式来验证证书。证书池实际上就是一个证书列表，可以根据实际需求通过3种不同的方式来访问。一种访问方式如下图所示：池中证书可以通过索引数组（这里为）来访问，以,,字段作为哈希字段。

验证过程

服务端使用参数调用函数来处理客户端证书（即中的第一个证书）。

然后会根据客户端提供的证书链来处理待验证的客户端证书，但首先需要使用函数建立并检查整条验证链：

而函数会依次调用占用CPU资源的一些函数，递归处理这条链上的每个元素。

函数依赖于函数，而后者可以通过或者映射访问证书池，识别上级证书，,然后返回候选证书索引，以便后续根据客户端控制的证书池来验证该证书。

在正常情况下，程序会提取及，并且认为这些值为唯一值，只会返回一个待验证的证书：

函数会在客户端发给TLS服务器的整条证书链上执行如下操作：

在（服务端）root CA池上调用，查找待验证证书的签发机构（判断是否为root CA），然后根据（如果不为）或者原始的issuer值（如果为）检查所有找到的证书的签名

在（客户端提供的）中间CA池上调用，查找已验证证书的签发机构（判断是否为中间CA），然后根据（如果不为）或者原始的值（如果为）检查所有找到的证书的签名

获取上一级中间签名节点

在新发现的中间节点上调用，然后重复前面描述的签名检查过程

DoS攻击

攻击者可以构造一种非预期场景，其中所有的中间CA证书使用的都是同一个名称，并且值为，这样当调用和函数时，就会造成CPU DoS攻击效果。函数会返回与该名称匹配的所有证书（这里返回的是整个证书池），然后检查所有证书的签名。检查完毕后，会再次递归调用函数处理找到的上一级证书，最后处理到root CA为止。每一次检查过程实际上都会处理整个中间CA池，因此单单一个TLS连接就会耗尽所有可用的CPU资源。

五、漏洞影响

攻击者可以精心构造一条证书链，使客户端证书校验过程耗尽服务端所有CPU资源，降低目标主机响应速度。只需要1个连接就能导致这种攻击效果。根据Go的调度程序规则，只有两个CPU核心会受到影响，CPU使用率达到100%，攻击者可以创建新连接，强制调度程序分配更多资源来校验签名，最终导致目标服务或目标主机无响应。

六、缓解措施

Go语言社区已经通过如下措施修复该问题：

在证书池查找过程中移除签名检测逻辑

限制签名检测次数，最多检测100个中间CA（实际信任链中很难看到这种情况）

如果向修复该漏洞，请立即升级到G0 v1.10.6、v1.11.3或者更新版本。

版权申明：内容来源网络，版权归原创者所有。除非无法确认，我们都会标明作者及出处，如有侵权烦请告知，我们会立即删除并表示歉意。谢谢。

Golang语言社区

ID：Golangweb

游戏服务器架构丨分布式技术丨大数据丨游戏算法学习