Een nieuwe Cisco patch beschikbaar, de aanpak van een fout in IOS en IOS XE switch en router software. De patch is uitgebracht met betrekking van een openbaarmaking van veiligheidslek (zogenaamde CVE-2018-0131) in de Internet Key Exchange (IKE) protocol voor opstelling IPSec-beveiligde VPN.
De beschrijving van deze aanval is gemaakt door een groep onderzoekers – Dennis Felsch, Martin Grothe, en Jörg Schwenk van de Duitse Ruhr-Universität Bochum; Czubak Adam en Marcin Szymanek, Universiteit van Opole in Polen.
Technische gegevens over de CVE-2018-0131-Based Attack
De CVE-2018-0131 kwetsbaarheid waarop de aanval is gebaseerd beïnvloedt Cisco IOS Software en Cisco IOS XE Software die is geconfigureerd met de rsa-ENCR optie authenticatie, zoals uitgelegd door de onderneming in een adviserend. De Cisco-beveiligingsproducten Incident Response Team (PSIRT) is zich niet bewust van een openbare aankondigingen of misbruik van de kwetsbaarheid. Echter, pleisters moeten zo snel mogelijk worden toegepast.
Het bedrijf bracht de patches vooruit thе 27ste USENIX Beveiliging Symposium in Baltimore, waar onderzoekers wordt verwacht dat ze nieuwe aanvallen op IPsec IKE presenteren. Deze aanvallen kunnen zeer groot VPNs compromitteren, die typisch industriële gegevensuitwisseling draadloos carrier backbone die draaien op Cisco kit.
deze aanval, ontdekt door de bovengenoemde groep onderzoekers, is mogelijk door hergebruik van sleutelpaar over de eerste en tweede versies van de IKE sleuteluitwisseling protocol, IKEv1 en IKEv2. Het zou een aanvaller in staat stellen om een netwerk te imiteren of het uitvoeren van een man-in-the-middle-aanval tegen twee partijen.
Om dit te bewijzen, de onderzoekers benut een Bleichenbacher orakel in een IKEv1 modus, waar de RSA versleutelde nonces worden gebruikt voor authenticatie. Met behulp van deze exploit, het team brak deze RSA-encryptie op basis modes, en brak ook RSA handtekeningen gebaseerde authenticatie in zowel IKEv1 en IKEv2. Bovendien:
We vonden Bleichenbacher orakels in de IKEv1 implementaties van Cisco (CVE-2018-0131), Huawei (CVE-2017-17.305), Clavister (CVE-2018-8753), en ZyXEL (CVE-2018-9129). Alle verkopers gepubliceerd fixes of verwijderde de specifieke authenticatie methode van firmwares hun apparaten in reactie op onze rapporten.
Op de top van deze, de onderzoekers waren ook in staat om te beschrijven een offline woordenboek aanval tegen de PSK (Pre-Shared Key) IKE gebaseerde modi, dus voor alle beschikbare authenticatie mechanismen van IKE.