Cisco, Huawei, ZyXel и Huawei исправляют криптографическую уязвимость IPSEC IKE

Новости
Безопасность / Cisco, Huawei, ZyXel и Huawei исправляют криптографическую уязвимость IPSEC IKE 1 минута на чтение

Средняя



Исследователи из Рурского университета Бохума: Деннис Фелш, Мартин Грот и Йорг Швенк, а также исследователи из Университета Ополе: Адам Чубак и Марцин Шиманек обнаружили возможную криптографическую атаку на уязвимые реализации IPSec IKE, используемые многими сетевыми фирмами, такими как Cisco, Huawei, ZyXel и Clavister. Исследователи опубликовали документ о своем исследовании и должны представить доказательство концепции атаки где-то на этой неделе на симпозиуме по безопасности USENIX в Балтиморе.

Согласно исследованиям опубликовано , используя одну и ту же пару ключей в различных версиях и режимах реализации IKE «Может привести к обходу межпротокольной аутентификации, позволяя злоумышленникам выдавать себя за хост или сеть жертвы». Исследователи объяснили, что это работает так: «Мы используем оракул Блейхенбахера в режиме IKEv1, где для аутентификации используются зашифрованные одноразовые номера RSA. Используя этот эксплойт, мы нарушаем эти режимы, основанные на шифровании RSA, и вдобавок ломаем аутентификацию на основе подписи RSA как в IKEv1, так и в IKEv2. Кроме того, мы описываем офлайн-атаку по словарю против режимов IKE на основе PSK (Pre-Shared Key), таким образом охватывая все доступные механизмы аутентификации IKE ».



Похоже, что уязвимость возникает из-за сбоев дешифрования в устройствах производителей. Эти сбои могут использоваться для передачи преднамеренных шифрованных текстов устройству IKEv1 с зашифрованными RSA одноразовыми номерами. Если злоумышленник успешно проведет эту атаку, он или она может получить доступ к полученным зашифрованным одноразовым номерам.



Учитывая чувствительность этой уязвимости и подверженные риску сетевые фирмы, некоторые сетевые компании выпустили исправления для решения этой проблемы или полностью удалили рискованный процесс аутентификации из своих продуктов. Затронутыми продуктами были ПО Cisco IOS и IOS XE, продукты ZyXel ZyWALL / USG, а также межсетевые экраны Clavister и Huawei. Все эти технологические компании выпустили соответствующие обновления прошивки, которые можно загрузить и установить непосредственно на свои продукты.