Cisco, Huawei, ZyXel en Huawei patchen cryptografische IPSEC IKE-kwetsbaarheid

Nieuws
Veiligheid / Cisco, Huawei, ZyXel en Huawei patchen cryptografische IPSEC IKE-kwetsbaarheid 1 minuut gelezen

Medium



Onderzoekers van de Ruhr-Universitat Bochum: Dennis Felsch, Martin Grothe en Jorg Schwenk, en onderzoekers van de Universiteit van Opole: Adam Czubak en Marcin Szymanek ontdekten een mogelijke cryptografische aanval op kwetsbare IPSec IKE-implementaties die worden gebruikt door veel netwerkbedrijven zoals Cisco, Huawei, ZyXel en Clavister. De onderzoekers hebben een paper over hun onderzoek gepubliceerd en zullen naar verwachting ergens deze week een proof of concept van de aanval presenteren op het USENIX Security Symposium in Baltimore.

Volgens het onderzoek gepubliceerd , met hetzelfde sleutelpaar in verschillende versies en modi van IKE-implementaties 'Kan leiden tot het omzeilen van protocoloverschrijdende authenticatie, waardoor aanvallers de identiteit van een slachtofferhost of netwerk kunnen nabootsen.' De onderzoekers legden uit dat dit zo werkt “We exploiteren een Bleichenbacher-orakel in een IKEv1-modus, waar RSA-gecodeerde nonces worden gebruikt voor authenticatie. Door deze exploit te gebruiken, doorbreken we deze op RSA-codering gebaseerde modi en bovendien breken we op RSA-handtekening gebaseerde authenticatie in zowel IKEv1 als IKEv2. Bovendien beschrijven we een offline woordenboekaanval tegen de op PSK (Pre-Shared Key) gebaseerde IKE-modi, waarmee alle beschikbare authenticatiemechanismen van IKE worden bestreken. '



Het lijkt erop dat de kwetsbaarheid voortkomt uit decoderingsfouten in de apparaten van de leveranciers. Deze fouten kunnen worden misbruikt om opzettelijke cijferteksten over te brengen naar het IKEv1-apparaat met RSA-gecodeerde nonces. Als de aanvaller erin slaagt deze aanval uit te voeren, kan hij of zij toegang krijgen tot de gecodeerde opgehaalde nonces.



Gezien de gevoeligheid van deze kwetsbaarheid en de netwerkbedrijven die risico lopen, hebben verschillende netwerkbedrijven patches uitgebracht om dit probleem te verhelpen of hebben ze het risicovolle authenticatieproces volledig uit hun producten verwijderd. De betrokken producten waren Cisco's IOS- en IOS XE-software, ZyXel's ZyWALL / USG-producten en Clavister en Huawei's firewalls. Al deze technologiebedrijven hebben respectieve firmware-updates uitgebracht die rechtstreeks op hun producten kunnen worden gedownload en geïnstalleerd.