Orta
Ruhr-Universitat Bochum'dan araştırmacılar: Dennis Felsch, Martin Grothe ve Jorg Schwenk ile Opole Üniversitesi'nden araştırmacılar: Adam Czubak ve Marcin Szymanek, Cisco gibi birçok ağ firması tarafından kullanılan savunmasız IPSec IKE uygulamalarına olası bir kriptografik saldırı keşfetti. Huawei, ZyXel ve Clavister. Araştırmacılar araştırmalarıyla ilgili bir makale yayınladılar ve bu hafta Baltimore'daki USENIX Güvenlik Sempozyumunda saldırı kavramının bir kanıtı sunacaklar.
Araştırmaya göre yayınlanan , IKE uygulamalarının çeşitli sürümlerinde ve modlarında aynı anahtar çiftini kullanarak ', Saldırganlar tarafından kurban ana bilgisayar veya ağın kimliğine bürünmesine olanak tanıyan protokoller arası kimlik doğrulama atlamalarına yol açabilir.' Araştırmacılar, bunun çalışma şeklinin şu olduğunu açıkladı: 'RSA şifreli nonceslerin kimlik doğrulama için kullanıldığı IKEv1 modunda bir Bleichenbacher oracle'ından yararlanıyoruz. Bu istismarı kullanarak, bu RSA şifreleme tabanlı modları ve ayrıca hem IKEv1 hem de IKEv2'de RSA imza tabanlı kimlik doğrulamasını kırarız. Ek olarak, PSK (Önceden Paylaşılan Anahtar) tabanlı IKE modlarına yönelik bir çevrimdışı sözlük saldırısını açıklıyoruz, böylece IKE'nin tüm kullanılabilir kimlik doğrulama mekanizmalarını kapsıyoruz.
Güvenlik açığı, satıcıların cihazlarındaki şifre çözme hatalarından kaynaklanıyor gibi görünüyor. Bu hatalar, kasıtlı şifreli metinleri RSA şifreli kodlarla IKEv1 cihazına iletmek için kullanılabilir. Saldırgan bu saldırıyı gerçekleştirmede başarılı olursa, getirilen şifrelenmiş nonce'lara erişebilir.
Bu güvenlik açığının hassasiyeti ve risk altındaki ağ oluşturma şirketleri göz önüne alındığında, ağ oluşturma şirketlerinden bazıları bu sorunu gidermek için yamalar yayınladı veya riskli kimlik doğrulama sürecini ürünlerinden tamamen kaldırdı. Etkilenen ürünler Cisco’nun IOS ve IOS XE yazılımı, ZyXel'in ZyWALL / USG ürünleri ve Clavister ve Huawei’nin güvenlik duvarlarıydı. Tüm bu teknoloji şirketleri, doğrudan ürünlerine indirilip yüklenmek üzere ilgili ürün yazılımı güncellemelerini yayınladı.
