We found out that reusing a key pair across different versions and modes of IPsec IKE can lead to cross-protocol aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication bypasses, enabling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 impersonation of a victim host or network by attackers. These vulnerabilities existed in implementations by Cisco, Huawei, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.
This week at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USENIX Security conference, I will present our research paper on IPsec attacks: The Dangers of Key Reuse: Practical Attacks on IPsec IKE written by Martin Grocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365, Jörg Schwenk, and me from Ruhr University Bochum as well as Adam Czubak and Marcin Szymanek from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 University of Opole [alternative link to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper]. This blog post is intended for people who like to get a comprehensive summary of our findings racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than to read a long research paper.
In version 1 of IKE (IKEv1), four aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication methods are available for Phase 1, in which initial aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticated keying material is established: Two public key encryption based methods, one signature based method, and a PSK (Pre-Shared Key) based method.
We show that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strength of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se oracles is sufficient to break all handshake variants in IKEv1 and IKEv2 (except those based on PSKs) when given access to powerful network equipment. We furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore demonstrate that key reuse across protocols as implemented in certain network equipment carries high security risks.
We additionally show that both PSK based modes can be broken with an offline dictionary attack if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PSK has low entropy. Such an attack was previously only documented for one of those modes (edit: see this comment). We thus show attacks against all aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication modes in both IKEv1 and IKEv2 under reasonable assumptions.
Bleichenbacher attacks are adaptive chosen ciphertext attacks against RSA-PKCS #1 v1.5. Though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack has been known for two decades, it is a common pitfall for developers. The mandatory use of PKCS #1 v1.5 in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PKE aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication methods raised suspicion of whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r implementations resist Bleichenbacher attacks.
PKE aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication is available and fully functional in Cisco’s IOS operating system. In Clavister’s cOS and ZyXEL’s ZyWALL USG devices, PKE is not officially available. There is no documentation and no configuration option for it and it is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore not fully functional. Nevercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se implementations processed messages using PKE aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication in our tests.
Huawei implements a revised mode of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PKE mode mentioned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RFC that saves one private key operation per peer (we call it RPKE mode). It is available in certain Huawei devices including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Secospace USG2000 series.
We were able to confirm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existence of Bleichenbacher oracles in all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se implementations. Here are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CVE entries and security advisories by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendors (I will add links once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are available):
To phrase it differently: In TLS-RSA, a Bleichenbacher oracle allows to perform an ex post attack to break cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 confidentiality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TLS session later on, whereas in IKEv1 a Bleichenbacher oracle only can be used to perform an online attack to impersonate one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two parties in real time.
The figure above depicts a direct attack on IKEv1 PKE:
I promised that this blogpost will only give a comprehensive summary, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore I am skipping all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details about IKEv2 here. It is enough to know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 structure of IKEv2 is fundamentally different from IKEv1.
If you're familiar with IT-security, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you will believe me that if digital signatures are used for aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication, it is not particularly good if an attacker can get a signature over attacker chosen data. We managed to develop an attack that exploits an IKEv1 Bleichenbacher oracle at some peer A to get a signature that can be used to break cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IKEv2 aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication at anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r peer B. This requires that peer A reuses its key pair for IKEv2 also for IKEv1. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details, please read our paper [alternative link to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper].
For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decryption attack on Cisco’s IKEv1 responder, we need to finish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bleichenbacher attack in 60 seconds. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public key of our ASR 1001-X router is 1024 bits long, we measured an average of 850 responses to Bleichenbacher requests per second. Therefore, an attack must succeed with at most 51,000 Bleichenbacher requests.
But anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r limit is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 management of Security Associations (SAs). There is a global limit of 900 Phase 1 SAs under negotiation per Cisco device in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default configuration. If this number is exceeded, one is blocked. Thus, one cannot start individual handshakes for each Bleichenbacher request to issue. Instead, SAs have to be reused as long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir error counter allows. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, establishing SAs with Cisco IOS is really slow. During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 negotiations in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first two messages of IKEv1 require more time than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual Bleichenbacher attack.
We managed to perform a successful decryption attack against our ASR 1001-X router with approximately 19,000 Bleichenbacher requests. However, due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary SA negotiations, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack took 13 minutes.
For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 statistics and for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack evaluation of digital signature forgery, we used a simulator with an oracle that behaves exactly as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones by Cisco, Clavister, and ZyXEL. We found that about 26% of attacks against IKEv1 could be successful based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cryptographic performance of our Cisco device. For digital signature forgery, about 22% of attacks could be successful under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same assumptions.
Note that (without a patched IOS), only non-cryptographic performance issues prevented a succesful attack on our Cisco device. There might be faster devices that do not suffer from this. Also note that a too slow Bleichenbacher attack does not permanently lock out attackers. If a timeout occurs, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can just start over with a new attack using fresh values hoping to require fewer requests. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim has deployed multiple responders sharing one key pair (e. g. for load balancing), this could also be leveraged to speed up an attack.
Huawei published firmware version V300R001C10SPH702 for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Secospace USG2000 series that removes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bleichenbacher oracle and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crash bugs we identified. Customers who use ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r affected Huawei devices will be contacted directly by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir support team as part of a need-to-know strategy.
Clavister removed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerable aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication method with cOS version 12.00.09. ZyXEL responded that our ZyWALL USG 100 test device is from a legacy model series that is end-of-support. Therefore, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se devices will not receive a fix. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 successor models, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patched firmware version ZLD 4.32 (Release Notes) is available.
This week at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USENIX Security conference, I will present our research paper on IPsec attacks: The Dangers of Key Reuse: Practical Attacks on IPsec IKE written by Martin Grocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365, Jörg Schwenk, and me from Ruhr University Bochum as well as Adam Czubak and Marcin Szymanek from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 University of Opole [alternative link to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper]. This blog post is intended for people who like to get a comprehensive summary of our findings racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than to read a long research paper.
IPsec and Internet Key Exchange (IKE)
IPsec enables cryptographic protection of IP packets. It is commonly used to build VPNs (Virtual Private Networks). For key establishment, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IKE protocol is used. IKE exists in two versions, each with different modes, different phases, several aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication methods, and configuration options. Therefore, IKE is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most complex cryptographic protocols in use.In version 1 of IKE (IKEv1), four aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication methods are available for Phase 1, in which initial aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticated keying material is established: Two public key encryption based methods, one signature based method, and a PSK (Pre-Shared Key) based method.
Attacks on IKE implementations
With our attacks we can impersonate an IKE device: If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack is successful, we share a set of (falsely) aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticated symmetric keys with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim device, and can successfully complete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 handshake – this holds for both IKEv1 and IKEv2. The attacks are based on Bleichenbacher oracles in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IKEv1 implementations of four large network equipment manufacturers: Cisco, Huawei, Clavister, and ZyXEL. These Bleichenbacher oracles can also be used to forge digital signatures, which breaks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 signature based IKEv1 and IKEv2 variants. Those who are unfamiliar with Bleichenbacher attacks may read this post by our colleague Juraj Somorovsky for an explanation.![]() |
The affected hardware test devices by Huawei, Cisco, and ZyXEL in our network lab.
|
We show that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strength of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se oracles is sufficient to break all handshake variants in IKEv1 and IKEv2 (except those based on PSKs) when given access to powerful network equipment. We furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore demonstrate that key reuse across protocols as implemented in certain network equipment carries high security risks.
We additionally show that both PSK based modes can be broken with an offline dictionary attack if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PSK has low entropy. Such an attack was previously only documented for one of those modes (edit: see this comment). We thus show attacks against all aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication modes in both IKEv1 and IKEv2 under reasonable assumptions.
Where's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bug?
The public key encryption (PKE) based aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication mode of IKE requires that both parties exchanged cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir public keys securely beforehand (e. g. with certificates during an earlier handshake with signature based aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication). RFC 2409 advertises this mode of aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication with a plausibly deniable exchange to raise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 privacy level. In this mode, messages three and four of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 handshake exchange encrypted nonces and identities. They are encrypted using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public key of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 respective ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r party. The encoding format for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ciphertexts is PKCS #1 v1.5.Bleichenbacher attacks are adaptive chosen ciphertext attacks against RSA-PKCS #1 v1.5. Though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack has been known for two decades, it is a common pitfall for developers. The mandatory use of PKCS #1 v1.5 in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PKE aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication methods raised suspicion of whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r implementations resist Bleichenbacher attacks.
PKE aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication is available and fully functional in Cisco’s IOS operating system. In Clavister’s cOS and ZyXEL’s ZyWALL USG devices, PKE is not officially available. There is no documentation and no configuration option for it and it is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore not fully functional. Nevercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se implementations processed messages using PKE aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication in our tests.
Huawei implements a revised mode of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PKE mode mentioned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RFC that saves one private key operation per peer (we call it RPKE mode). It is available in certain Huawei devices including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Secospace USG2000 series.
We were able to confirm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existence of Bleichenbacher oracles in all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se implementations. Here are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CVE entries and security advisories by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendors (I will add links once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are available):
- Cisco: CVE-2018-0131, Security Advisory
- Huawei: CVE-2017-17305, Security Advisory
- Clavister: CVE-2018-8753, Security Advisory
- Zyxel: CVE-2018-9129, Security Advisory
A Bleichenbacher Attack Against PKE
If a Bleichenbacher oracle is discovered in a TLS implementation, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n TLS-RSA is broken since one can compute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Premaster Secret and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TLS session keys without any time limit on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 oracle. For IKEv1, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation is more difficult: Even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a strong Bleichenbacher oracle in PKE and RPKE mode, our attack must succeed within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lifetime of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IKEv1 Phase 1 session, since a Diffie-Hellman key exchange during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 handshake provides an additional layer of security that is not present in TLS-RSA. For example, for Cisco this time limit is currently fixed to 60 seconds for IKEv1 and 240 seconds for IKEv2.To phrase it differently: In TLS-RSA, a Bleichenbacher oracle allows to perform an ex post attack to break cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 confidentiality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TLS session later on, whereas in IKEv1 a Bleichenbacher oracle only can be used to perform an online attack to impersonate one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two parties in real time.
![]() |
Bleichenbacher attack against IKEv1 PKE based aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication. |
The figure above depicts a direct attack on IKEv1 PKE:
- The attackers initiate an IKEv1 PKE based key exchange with Responder A and adhere to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protocol until receiving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fourth message. They extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 encrypted nonce from this message, and record cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r public values of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 handshake.
- The attackers keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IKE handshake with Responder A alive as long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responder allows. For Cisco and ZyXEL we know that handshakes are cancelled after 60 seconds, Clavister and Huawei do so after 30 seconds.
- The attackers initiate several parallel PKE based key exchanges to Responder B.
- In each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se exchanges, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y send and receive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first two messages according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protocol specifications.
- In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third message, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y include a modified version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 encrypted nonce according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bleichenbacher attack methodology.
- They wait until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y receive an answer or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can reliably determine that this message will not be sent (timeout or reception of a repeated second handshake message).
- After receiving enough answers from Responder B, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers can compute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plaintext of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nonce.
- The attackers now have all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information to complete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key derivation and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 handshake. They thus can impersonate Responder B to Responder A.
Key Reuse
Maintaining individual keys and key pairs for each protocol version, mode, and aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication method of IKE is difficult to achieve in practice. It is oftentimes simply not supported by implementations. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 implementations by Clavister and ZyXEL, for example. Thus, it is common practice to have only one RSA key pair for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole IKE protocol family. The actual security of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protocol family in this case crucially depends on its cross-ciphersuite and cross-version security. In fact, our Huawei test device reuses its RSA key pair even for SSH host identification, which furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r exposes this key pair.A Cross-Protocol Version Attack with Digital Signature Based Aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication
Signature Forgery Using Bleichenbacher's Attack
It is well known that in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of RSA, performing a decryption and creating a signature is macá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365matically cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same operation. Bleichenbacher's original paper already mentioned that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack could also be used to forge signatures over attacker-chosen data. In two papers that my colleagues at our chair have published, this has been exploited for attacks on XML-based Web Services, TLS 1.3, and Google's QUIC protocol. The ROBOT paper used this attack to forge a signature from Facebook's web servers as proof of exploitability.IKEv2 With Digital Signatures
Digital signature based aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication is supported by both IKEv1 and IKEv2. We focus here on IKEv2 because on Cisco routers, an IKEv2 handshake may take up to four minutes. This more relaxed timer compared to IKEv1 makes it an interesting attack target.I promised that this blogpost will only give a comprehensive summary, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore I am skipping all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details about IKEv2 here. It is enough to know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 structure of IKEv2 is fundamentally different from IKEv1.
If you're familiar with IT-security, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you will believe me that if digital signatures are used for aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication, it is not particularly good if an attacker can get a signature over attacker chosen data. We managed to develop an attack that exploits an IKEv1 Bleichenbacher oracle at some peer A to get a signature that can be used to break cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IKEv2 aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication at anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r peer B. This requires that peer A reuses its key pair for IKEv2 also for IKEv1. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details, please read our paper [alternative link to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper].
Evaluation and Results
For testing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack, we used a Cisco ASR 1001-X router running IOS XE in version 03.16.02.S with IOS version 15.5(3)S2. Unfortunately, Cisco’s implementation is not optimized for throughput. From our observations we assume that all cryptographic calculations for IKE are done by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device’s CPU despite it having a hardware accelerator for cryptography. One can easily overload cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device’s CPU for several seconds with a standard PC bursting handshake messages, even with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default limit for concurrent handshakes. And even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CPU load is kept below 100 %, we nevercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less observed packet loss.For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decryption attack on Cisco’s IKEv1 responder, we need to finish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bleichenbacher attack in 60 seconds. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public key of our ASR 1001-X router is 1024 bits long, we measured an average of 850 responses to Bleichenbacher requests per second. Therefore, an attack must succeed with at most 51,000 Bleichenbacher requests.
But anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r limit is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 management of Security Associations (SAs). There is a global limit of 900 Phase 1 SAs under negotiation per Cisco device in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default configuration. If this number is exceeded, one is blocked. Thus, one cannot start individual handshakes for each Bleichenbacher request to issue. Instead, SAs have to be reused as long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir error counter allows. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, establishing SAs with Cisco IOS is really slow. During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 negotiations in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first two messages of IKEv1 require more time than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual Bleichenbacher attack.
We managed to perform a successful decryption attack against our ASR 1001-X router with approximately 19,000 Bleichenbacher requests. However, due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary SA negotiations, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack took 13 minutes.
For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 statistics and for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack evaluation of digital signature forgery, we used a simulator with an oracle that behaves exactly as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones by Cisco, Clavister, and ZyXEL. We found that about 26% of attacks against IKEv1 could be successful based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cryptographic performance of our Cisco device. For digital signature forgery, about 22% of attacks could be successful under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same assumptions.
Note that (without a patched IOS), only non-cryptographic performance issues prevented a succesful attack on our Cisco device. There might be faster devices that do not suffer from this. Also note that a too slow Bleichenbacher attack does not permanently lock out attackers. If a timeout occurs, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can just start over with a new attack using fresh values hoping to require fewer requests. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim has deployed multiple responders sharing one key pair (e. g. for load balancing), this could also be leveraged to speed up an attack.
Responsible Disclosure
We reported our findings to Cisco, Huawei, Clavister, and ZyXEL. Cisco published fixes with IOS XE versions 16.3.6, 16.6.3, and 16.7.1. They furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r informed us that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PKE mode will be removed with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next major release.Huawei published firmware version V300R001C10SPH702 for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Secospace USG2000 series that removes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bleichenbacher oracle and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crash bugs we identified. Customers who use ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r affected Huawei devices will be contacted directly by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir support team as part of a need-to-know strategy.
Clavister removed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerable aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication method with cOS version 12.00.09. ZyXEL responded that our ZyWALL USG 100 test device is from a legacy model series that is end-of-support. Therefore, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se devices will not receive a fix. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 successor models, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patched firmware version ZLD 4.32 (Release Notes) is available.
FAQs
- Why don't you have a cool name for this attack?
The attack itself already has a name, it's Bleichenbacher's attack. We just show how Bleichenbacher attacks can be applied to IKE and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can break cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protocol's security. So, if you like, call it IPsec-Bleichenbacher or IKE-Bleichenbacher. - Do you have a logo for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack?
No. - My machine was running a vulnerable firmware. Have I been attacked?
We have no indication that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack was ever used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wild. However, if you are still concerned, check your logs. The attack is not silent. If your machine was used for a Bleichenbacher attack, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re should be many log entries about decryption errors. If your machine was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one that got tricked (Responder A in our figures), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you could probably find log entries about unfinished handshake attempts. - Where can I learn more?
First of all, you can read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper [alternative link to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper]. Second, you can watch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r live at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference or later on this page. - What else does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper contain?
The paper contains a lot more details than this blogpost. It explains all aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication methods including IKEv2 and it gives message flow diagrams of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protocols. There, we describe a variant of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack that uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bleichenbacher oracles to forge signatures to target IKEv2. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, we describe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quirks of Huawei's implementation including crash bugs that could allow for Denial-of-Service attacks. Last but not least, it describes a dictionary attack against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PSK mode of aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication that is covered in a separate blogpost.