Taggat med: Bleichenbacher

Ny sårbarhet i IPSec

En ny sårbarhet har uppdagats som gör det möjligt att beräkna IPSec PSK-nycklar offline. Detta gäller både IKEv1 och IKEv2 samt main mode. Aggressive mode har sedan tidigare varit känt att det går att utföra offline forceringsattacker mot, och till viss del även main mode.

Då sårbarheten återfinnes i IKE-standarden så drabbas troligtvis samtliga leverantörer och följande CVE:er har blivit utfärdade än så länge:

  • Cisco – CVE-2018-0131
  • Huawei – CVE-2017-17305
  • ZyXEL – CVE-2018-9129
  • Clavister – CVE-2018-8753
  • Själva attacken har CVE-2018-5389

Attacken nyttjar Bleichenbachers attack och har och göra med hur RSA nonces används för autentisering och upptäcktes av Martin GrotheJoerg Schwenk och Dennis Felsch.

Rekommendationen från teamet som identifierade sårbarheten är att patcha dina enheter samt om du måste använda PSK (pre-shared key) är att använda minst 19 slumpmässiga tecken som inte återfinnes i någon ordlista. Givetvis är certifikatbaserad inloggning säkrast när det gäller IPSEC.

Här nedan kan du ladda hem forskningsrapporten som presenterar attacken under USENIX konferensen:

ROBOT – Return of Bleichenbacher’s Oracle Attack

ROBOT är en ny intressant attack som använder sig av Bleichenbachers Oracle för att attackera tjänster som använder sig av TLS såsom https. Attacken går mot PKCSv1.5 som är en padding som används tillsammans med RSA. Genom att skicka ett antal olika krypterade meddelanden är det möjligt för en angripare att återskapa krypterat https-data.

För att få en uppfattning om hur omfattande problemet med ROBOT-attacken är så kan vi titta på den skanning som Dirk Wetter på testssl.sh projeketet genomfört mot Alexa Top 10k-listan.

Ovan visar alltså på att runt 15% av sajterna är sårbara.

Jag gillar även följande presentationsbild som är från Tibor Jager kurs på Paderborn Universitetet i Tyskland:

Samt så har den officiella sajten RobotAttack.org har sammanställt en lista över sårbara implementationer, där den som är mest anmärkningsvärd är Cisco ACE som tydligen används av många företag men Cisco ej kommer att patcha:

F5 BIG-IP SSL vulnerability CVE-2017-6168
Citrix TLS Padding Oracle Vulnerability in Citrix NetScaler Application Delivery Controller (ADC) and NetScaler Gateway CVE-2017-17382
Radware Security Advisory: Adaptive chosen-ciphertext attack vulnerability CVE-2017-17427
Cisco ACE Bleichenbacher Attack on TLS Affecting Cisco ProductsEnd-of-Sale and End-of-Life CVE-2017-17428
Bouncy Castle Fix in 1.59 beta 9Patch / Commit CVE-2017-13098
Erlang OTP 18.3.4.7,
OTP 19.3.6.4,
OTP 20.1.7
CVE-2017-1000385
WolfSSL Github PR / patch CVE-2017-13099
MatrixSSL Changes in 3.8.3 CVE-2016-6883
Java / JSSE Oracle Critical Patch Update Advisory – October 2012 CVE-2012-5081

En lösning till problemet är att helt sluta använda RSA och förlita sig på elliptiska kurvor samt Diffie-Hellman.

Robot-attacken är resultat av forskning från Hanno Böck, Juraj Somorovsky från Horst Görtz Institute och Craig Young, Tripwire.

Och för att testa om en sajt är sårbar för Robot kan du använda RobotAttack.org, dev.testssl.com eller testssl.sh

Skärmdump från dev.ssllabs.com där jag identifierat en sårbar sajt:

Sammanställning av attacker mot SSL/TLS

Christopher Meyer och Jörg Schwenk har genomfört en sammanställning på samtliga allvarligare attacker mot SSL och TLS från de senaste 15 åren i en uppsats:

SSL/TLS allowed efficient fixes in order to counter the issues. This paper presents an overview on theoretical and practical attacks of the last 15 years, in chronological order and four categories: Attacks on the TLS Handshake protocol, on the TLS Record and Application Data Protocols, on the PKI infrastructure of TLS, and on various other attacks. We try to give a short ”Lessons Learned” at the end of each paragraph.

Några av de attacker som presenteras är:

  • Bleichenbacher Attack on PKCS#1
  • Cipher suite rollback
  • ECC based timing attacks
  • Chosen-Plain-text Attacks on SSL reloaded
  • Attacks on non-browser based certificate validation
  • Renegotiation flaw

Här kan du ladda hem dokumentet som PDF:

SSL/TLS krypto-attacker