Elia Tufarolo

DUHK, nuovo attacco per recuperare le chiavi crittografiche delle VPN

Alcuni riferimenti utilizzati per l'attacco risalgono addirittura al 1998. Tuttavia, il generatore di numeri vulnerabile è stato rimosso dai FIPS solo lo scorso anno, ed è tuttora utilizzato da diversi produttori di dispositivi di rete

Roma - Sono tempi duri per gli algoritmi crittografici. Dopo la pubblicazione delle vulnerabilità KRACK e ROCA, che riguardano rispettivamente l'algoritmo WPA2 ed i dispositivi Trusted Platform Module (TPM) di Infineon, è stata recentemente scoperta una nuova problematica di sicurezza, relativa alle reti VPN gestite da dispositivi Fortinet.

La vulnerabilità è stata scoperta da due ricercatori della University of Pennsylvania, Shaanan Cohney e Nadia Heninger, e dal crittografo Matthew D. Green, della Johns Hopkins University, ed è stata battezzata DUHK, acronimo che sta per "Don't Use Hard-coded Keys".

duhk logo

Il nome della vulnerabilità si riferisce direttamente ad una delle tre condizioni che devono verificarsi affinché un dispositivo di rete sia vulnerabile all'attacco:

  • l'utilizzo del generatore di numeri pseudo-casuali ANSI X9.31, il quale è stato compliant agli standard FIPS - Federal Information Processing Standards - fino a gennaio del 2016;

  • il seed utilizzato dal generatore di cui sopra deve essere hard-coded all'interno del codice sorgente;

  • l'output del generatore di numeri pseudo-casuali non deve subire ulteriori elaborazioni prima di essere utilizzato per generare le chiavi di cifratura.


Attualmente, sono sicuramente vulnerabili a DUHK i sistemi operativi FortiOS dalla versione 4.3.0 alla 4.3.18: di conseguenza, il traffico generato da reti VPN, gestite da dispositivi Fortinet che utilizzano queste versioni del sistema operativo, può essere decifrato da un attaccante che riesca a catturare i pacchetti relativi alla procedura di handshake.
Tuttavia, ANSI X9.31 è stato utilizzato negli anni da diversi produttori, nonostante fosse noto sin dal 1998 che, per garantire la sicurezza delle chiavi, il seed dovesse rimanere segreto. Al tempo, il nome del generatore era ANSI X9.17 e utilizzava gli algoritmi DES e 3DES anziché AES per generare la chiave seed. La lista delle policy di sicurezza e dei relativi produttori - qui presente - è stata allegata all'interno del paper dai ricercatori anche se, col passare degli anni, alcuni di essi hanno aggiornato il software dei loro dispositivi e le relative policy di sicurezza, rimuovendo ANSI X9.31 in favore di generatori di numeri pseudo-casuali più sicuri.

duhk logo

Per quanto riguarda la complessità computazionale dell'attacco, i ricercatori dichiarano di essere riusciti a recuperare lo stato interno del generatore di numeri, utilizzato da una rete VPN con protocollo IKEv2, in 15 minuti core, dunque in circa 4 minuti, utilizzando un processore quad-core.
Una volta raggiunto questo obiettivo sono necessari ulteriori passi per ottenere le chiavi crittografiche, i quali tuttavia possono essere completati in pochi secondi.

Fortinet ha replicato rapidamente con un articolo sul proprio blog, affermando che la problematica è stata risolta da tempo, avvisando i propri clienti di aggiornare FortiOS 4 alla versione 4.3.19, oppure di migrare a FortiOS 5. Fortinet dichiara che la vulnerabilità è stata risolta su FortiOS 5, sostituendo ANSI X9.31 con il più sicuro CTR_DRBG (Counter-mode Deterministic Random Byte Generator), mentre è stata patchata su FortiOS 4. Il tutto è documentato da un avviso PSIRT risalente a novembre 2016.

Elia Tufarolo

Fonte Immagini: 1, 2
Notizie collegate
  • AttualitàCrack WPA2, l'industria reagisceIl "day after" della rivelazione sulle vulnerabilità di WPA2 si affolla di reazioni, prese di posizione e promesse di patch. Nella mega-breccia sono coinvolti tutti, e i principali colossi dell'IT si sono già mossi per prevenire i danni
  • AttualitàWiFi, crackato il protocollo WPA2Un ricercatore lancia l'allarme: il protocollo WPA2 è vulnerabile ad attacchi eseguiti in locale. Le condizioni per l'esecuzione degli attacchi non sono triviali, ma il problema è molto grave. Patch in arrivo per i dispositivi client
  • AttualitàInfineon, le chiavi crittografiche del TPM sono insicureI chip di sicurezza prodotti dalla corporation tedesca usano una libreria che è risultata vulnerabile, e ora centinaia di migliaia di utenti potrebbero essere a rischio. Il problema era noto da mesi, le patch già disponibili anche per firmware UEFI
  • AttualitàHacker a caccia di chiavi SSHWordfence consiglia prudenza agli utenti WordPress, a seguito di un'impennata delle scansioni alla ricerca di chiavi SSH. Nel frattempo, uno studio di Venafi dimostra l'assenza di best practice nell'utilizzo e nella gestione delle chiavi
6 Commenti alla Notizia DUHK, nuovo attacco per recuperare le chiavi crittografiche delle VPN
Ordina
  • mi puzzava un po la replica un po seccata di fortinet che riportava P.I. ("mhh si beh abbiam gia patchato nel 2016 la 4.x. In ogni caso avevamo gia fatto uscire la 5.x senza l'algo ANSI incriminato" ..). guardo il blog, e in effetti e' cosi... anzi qualcosa "peggio" ("I’m not sure why this obscure flaw made the news..").
    Poi guardo il PSIRT, guardo il cve e bugtraq... ci sono i RINGRAZIAMENTI a green per la segnalazione per fortinet4 ...MHH

    Infine il blog di Green.. e si legge
    - e' da 20 anni che si sa che l'algo risulta insicuro se l'attacker conosce la chiave K
    - conseguenzialmente ANSI dice di generare la chiave K seriamente e tenerla segreta
    - Fortinet ne ha ficcata una hardcoded fissa per anni
    - In fortinet5 ha cambiato algo non perche' si sia resa conto di cagate ma xche era ormai deprecato dal FIPS
    e infine
    As a result of our disclosure, it has also been patched in FortiOS 4.3.19 (ERGO se ne deduce che il PSIRT del 2016 e' xche Green gli ha comunicato la falla 1 anno fa, e ne ha fatto disclosure adesso... anche a beneficio degli altri prodotti... oltre che dei fortinet ancora bacati in giro)

    Ergo il blogger di fortinet di cui sopra e' ingeneroso per non dire rimbambito! altro che "I’m not sure why this obscure flaw made the news.."
    non+autenticato
  • - Scritto da: bubba
    > mi puzzava un po la replica un po seccata di
    > fortinet che riportava P.I. ("mhh si beh abbiam
    > gia patchato nel 2016 la 4.x. In ogni caso
    > avevamo gia fatto uscire la 5.x senza l'algo ANSI
    > incriminato" ..). guardo il blog, e in effetti e'
    > cosi... anzi qualcosa "peggio" ("I’m not sure why
    > this obscure flaw made the
    > news..").
    > Poi guardo il PSIRT, guardo il cve e bugtraq...
    > ci sono i RINGRAZIAMENTI a green per la
    > segnalazione per fortinet4
    > ...MHH
    >
    > Infine il blog di Green.. e si legge
    > - e' da 20 anni che si sa che l'algo risulta
    > insicuro se l'attacker conosce la chiave
    > K
    > - conseguenzialmente ANSI dice di generare la
    > chiave K seriamente e tenerla
    > segreta
    > - Fortinet ne ha ficcata una hardcoded fissa per
    > anni
    > - In fortinet5 ha cambiato algo non perche' si
    > sia resa conto di cagate ma xche era ormai
    > deprecato dal
    > FIPS
    > e infine
    > As a result of our disclosure, it has also been
    > patched in FortiOS 4.3.19 (ERGO se ne deduce che
    > il PSIRT del 2016 e' xche Green gli ha comunicato
    > la falla 1 anno fa, e ne ha fatto disclosure
    > adesso... anche a beneficio degli altri
    > prodotti... oltre che dei fortinet ancora bacati
    > in
    > giro)
    >
    > Ergo il blogger di fortinet di cui sopra e'
    > ingeneroso per non dire rimbambito! altro che
    > "I’m not sure why this obscure flaw made the
    > news.."

    Ma chettifrega? Funziona no?
    La funzionalita' serve per far connettere TE alla VPN e questo avviene.

    Se poi per far connettere TE possono entrare anche cani&porci, mica e' colpa tua, no?
  • guarda che fortinet è quello che ha inserito backdoor nei suoi prodotti facendo finta di nulla, che ti aspettavi da loro?
    Cerca fortinet Superhero account hidden
    non+autenticato
  • - Scritto da: DEBOLIinet
    > guarda che fortinet è quello che ha inserito
    > backdoor nei suoi prodotti facendo finta di
    > nulla, che ti aspettavi da
    > loro?
    > Cerca fortinet Superhero account hidden
    ah sisi mi ricordo...... beh la backdoor e' stata spacciata come una sfortunata conseguenza del sistema di credenziali hardcoded di manutenzione di FortiManagerCon la lingua fuoriSorride e non e' certo una scusa originale (MA potrebbe essere vera..... la pigrizia e l'idiozia producono danni ingenti)

    Piu inquietante sembrava l'affaire di Juniper... al tempo sembro' che qualcunaltro gli avesse moddato il codice per ficcare delle backdoor... specie per via delle chiacchiere di snowden....... e' mai poi stato DIMOSTRATO qualcosa?
    non+autenticato
  • Bah, incredibile che risale tutto al 1998 e nessuno ha fatto nulla fino a pochi anni fa... ora magari, senza il magari, aprono i nuovi senza problemi.
    non+autenticato
  • I nuovi ci sono gia e funzionano per cui levano i vecchi - conosciuti da tropi
    non+autenticato