Kerentanan Cisco, Huawei, ZyXel, dan Huawei patch Cryptographic IPSEC IKE

Berita
Keselamatan / Kerentanan Cisco, Huawei, ZyXel, dan Huawei patch Cryptographic IPSEC IKE 1 minit dibaca

Sedang



Penyelidik dari Ruhr-Universitat Bochum: Dennis Felsch, Martin Grothe, dan Jorg Schwenk, dan penyelidik dari University of Opole: Adam Czubak dan Marcin Szymanek menemui kemungkinan serangan kriptografi terhadap pelaksanaan IPSec IKE yang rentan yang digunakan oleh banyak syarikat rangkaian seperti Cisco, Huawei, ZyXel, dan Clavister. Para penyelidik telah menerbitkan makalah mengenai penyelidikan mereka dan akan mengemukakan bukti konsep serangan pada minggu ini di USENIX Security Symposium di Baltimore.

Menurut kajian diterbitkan , menggunakan pasangan kunci yang sama di pelbagai versi dan mod pelaksanaan IKE 'Dapat menyebabkan bypass autentikasi protokol silang, memungkinkan penyamaran host atau rangkaian korban oleh penyerang.' Para penyelidik menjelaskan bahawa cara ini berfungsi adalah 'Kami mengeksploitasi oracle Bleichenbacher dalam mod IKEv1, di mana RSA yang disulitkan digunakan untuk pengesahan. Dengan menggunakan eksploitasi ini, kami mematahkan mod berasaskan enkripsi RSA ini, dan selain itu mematahkan pengesahan berasaskan tandatangan RSA di IKEv1 dan IKEv2. Selain itu, kami menerangkan serangan kamus luar talian terhadap mod IKE berasaskan PSK (Kunci Pra-Dikongsi), sehingga merangkumi semua mekanisme pengesahan IKE yang ada. '



Nampaknya kerentanan itu timbul dari kegagalan penyahsulitan dalam peranti vendor. Kegagalan ini dapat dimanfaatkan untuk menyampaikan ciphertexts yang disengajakan ke peranti IKEv1 dengan RSA yang disulitkan. Sekiranya penyerang berjaya melakukan serangan ini, dia dapat memperoleh akses ke nonce yang dienkripsi yang diambil.



Memandangkan kepekaan kerentanan ini dan firma rangkaian berisiko, beberapa syarikat rangkaian telah melepaskan tambalan untuk menangani masalah ini atau telah menghapus sepenuhnya proses pengesahan berisiko dari produk mereka. Produk yang terjejas adalah perisian IOS dan IOS XE Cisco, produk ZyWALL / USG ZyXel, dan firewall Clavister dan Huawei. Semua syarikat teknologi ini telah mengeluarkan kemas kini firmware masing-masing untuk dimuat turun dan dipasang terus pada produk mereka.