Montag, 13. August 2018

Practical Bleichenbacher Attacks on IPsec IKE

We found out that reusing a key pair across different versions and modes of IPsec IKE can lead to cross-protocol aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication bypasses, enabling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 impersonation of a victim host or network by attackers. These vulnerabilities existed in implementations by Cisco, Huawei, and ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs.

This week at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 USENIX Security conference, I will present our research paper on IPsec attacks: The Dangers of Key Reuse: Practical Attacks on IPsec IKE written by Martin Grocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365, Jörg Schwenk, and me from Ruhr University Bochum as well as Adam Czubak and Marcin Szymanek from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 University of Opole [alternative link to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper]. This blog post is intended for people who like to get a comprehensive summary of our findings racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than to read a long research paper.

IPsec and Internet Key Exchange (IKE)

IPsec enables cryptographic protection of IP packets. It is commonly used to build VPNs (Virtual Private Networks). For key establishment, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IKE protocol is used. IKE exists in two versions, each with different modes, different phases, several aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication methods, and configuration options. Therefore, IKE is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most complex cryptographic protocols in use.

In version 1 of IKE (IKEv1), four aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication methods are available for Phase 1, in which initial aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticated keying material is established: Two public key encryption based methods, one signature based method, and a PSK (Pre-Shared Key) based method.

Attacks on IKE implementations

With our attacks we can impersonate an IKE device: If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack is successful, we share a set of (falsely) aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365nticated symmetric keys with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim device, and can successfully complete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 handshake – this holds for both IKEv1 and IKEv2. The attacks are based on Bleichenbacher oracles in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IKEv1 implementations of four large network equipment manufacturers: Cisco, Huawei, Clavister, and ZyXEL. These Bleichenbacher oracles can also be used to forge digital signatures, which breaks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 signature based IKEv1 and IKEv2 variants. Those who are unfamiliar with Bleichenbacher attacks may read this post by our colleague Juraj Somorovsky for an explanation.

The affected hardware test devices by Huawei, Cisco, and ZyXEL in our network lab.

We show that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strength of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se oracles is sufficient to break all handshake variants in IKEv1 and IKEv2 (except those based on PSKs) when given access to powerful network equipment. We furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore demonstrate that key reuse across protocols as implemented in certain network equipment carries high security risks.

We additionally show that both PSK based modes can be broken with an offline dictionary attack if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PSK has low entropy. Such an attack was previously only documented for one of those modes (edit: see this comment). We thus show attacks against all aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication modes in both IKEv1 and IKEv2 under reasonable assumptions.

The relationship between IKEv1 Phase 1, Phase 2, and IPsec ESP. Multiple simultaneous Phase 2 connections can be established from a single Phase 1 connection. Grey parts are encrypted, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r with IKE derived keys (light grey) or with IPsec keys (dark grey). The numbers at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 curly brackets denote cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of messages to be exchanged in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protocol.

Where's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bug?

The public key encryption (PKE) based aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication mode of IKE requires that both parties exchanged cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir public keys securely beforehand (e. g. with certificates during an earlier handshake with signature based aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication). RFC 2409 advertises this mode of aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication with a plausibly deniable exchange to raise cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 privacy level. In this mode, messages three and four of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 handshake exchange encrypted nonces and identities. They are encrypted using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public key of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 respective ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r party. The encoding format for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ciphertexts is PKCS #1 v1.5.

Bleichenbacher attacks are adaptive chosen ciphertext attacks against RSA-PKCS #1 v1.5. Though cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack has been known for two decades, it is a common pitfall for developers. The mandatory use of PKCS #1 v1.5 in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PKE aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication methods raised suspicion of whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r implementations resist Bleichenbacher attacks.

PKE aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication is available and fully functional in Cisco’s IOS operating system. In Clavister’s cOS and ZyXEL’s ZyWALL USG devices, PKE is not officially available. There is no documentation and no configuration option for it and it is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore not fully functional. Nevercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se implementations processed messages using PKE aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication in our tests.

Huawei implements a revised mode of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PKE mode mentioned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 RFC that saves one private key operation per peer (we call it RPKE mode). It is available in certain Huawei devices including cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Secospace USG2000 series.

We were able to confirm cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 existence of Bleichenbacher oracles in all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se implementations. Here are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CVE entries and security advisories by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendors (I will add links once cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are available):
On an abstract level, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se oracles work as follows: If we replace cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ciphertext of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nonce in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third handshake message with a modified RSA ciphertext, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responder will eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r indicate an error (Cisco, Clavister, and ZyXEL) or silently abort (Huawei) if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ciphertext is not PKCS #1 v1.5 compliant. Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responder continues with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fourth message (Cisco and Huawei) or return an error notification with a different message (Clavister and ZyXEL) if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ciphertext is in fact PKCS #1 v1.5 compliant. Each time we learn that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ciphertext was valid, we can advance cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bleichenbacher attack one more step.

A Bleichenbacher Attack Against PKE

If a Bleichenbacher oracle is discovered in a TLS implementation, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n TLS-RSA is broken since one can compute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Premaster Secret and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TLS session keys without any time limit on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 usage of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 oracle. For IKEv1, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 situation is more difficult: Even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a strong Bleichenbacher oracle in PKE and RPKE mode, our attack must succeed within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lifetime of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IKEv1 Phase 1 session, since a Diffie-Hellman key exchange during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 handshake provides an additional layer of security that is not present in TLS-RSA. For example, for Cisco this time limit is currently fixed to 60 seconds for IKEv1 and 240 seconds for IKEv2.

To phrase it differently: In TLS-RSA, a Bleichenbacher oracle allows to perform an ex post attack to break cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 confidentiality of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TLS session later on, whereas in IKEv1 a Bleichenbacher oracle only can be used to perform an online attack to impersonate one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 two parties in real time.

Bleichenbacher attack against IKEv1 PKE based aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication.

The figure above depicts a direct attack on IKEv1 PKE:
  1. The attackers initiate an IKEv1 PKE based key exchange with Responder A and adhere to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protocol until receiving cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fourth message. They extract cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 encrypted nonce from this message, and record cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r public values of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 handshake.
  2. The attackers keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IKE handshake with Responder A alive as long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responder allows. For Cisco and ZyXEL we know that handshakes are cancelled after 60 seconds, Clavister and Huawei do so after 30 seconds.
  3. The attackers initiate several parallel PKE based key exchanges to Responder B.
    • In each of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se exchanges, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y send and receive cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first two messages according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protocol specifications.
    • In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third message, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y include a modified version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 encrypted nonce according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bleichenbacher attack methodology.
    • They wait until cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y receive an answer or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can reliably determine that this message will not be sent (timeout or reception of a repeated second handshake message).
  4. After receiving enough answers from Responder B, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers can compute cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 plaintext of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nonce.
  5. The attackers now have all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information to complete cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 key derivation and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 handshake. They thus can impersonate Responder B to Responder A.

Key Reuse

Maintaining individual keys and key pairs for each protocol version, mode, and aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication method of IKE is difficult to achieve in practice. It is oftentimes simply not supported by implementations. This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 implementations by Clavister and ZyXEL, for example. Thus, it is common practice to have only one RSA key pair for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole IKE protocol family. The actual security of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protocol family in this case crucially depends on its cross-ciphersuite and cross-version security. In fact, our Huawei test device reuses its RSA key pair even for SSH host identification, which furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r exposes this key pair.

A Cross-Protocol Version Attack with Digital Signature Based Aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication

Signature Forgery Using Bleichenbacher's Attack

It is well known that in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case of RSA, performing a decryption and creating a signature is macá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365matically cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same operation. Bleichenbacher's original paper already mentioned that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack could also be used to forge signatures over attacker-chosen data. In two papers that my colleagues at our chair have published, this has been exploited for attacks on XML-based Web Services, TLS 1.3, and Google's QUIC protocol. The ROBOT paper used this attack to forge a signature from Facebook's web servers as proof of exploitability.

IKEv2 With Digital Signatures

Digital signature based aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication is supported by both IKEv1 and IKEv2. We focus here on IKEv2 because on Cisco routers, an IKEv2 handshake may take up to four minutes. This more relaxed timer compared to IKEv1 makes it an interesting attack target.

I promised that this blogpost will only give a comprehensive summary, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365refore I am skipping all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details about IKEv2 here. It is enough to know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 structure of IKEv2 is fundamentally different from IKEv1.

If you're familiar with IT-security, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you will believe me that if digital signatures are used for aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication, it is not particularly good if an attacker can get a signature over attacker chosen data. We managed to develop an attack that exploits an IKEv1 Bleichenbacher oracle at some peer A to get a signature that can be used to break cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IKEv2 aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication at anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r peer B. This requires that peer A reuses its key pair for IKEv2 also for IKEv1. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 details, please read our paper [alternative link to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper].

Evaluation and Results

For testing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack, we used a Cisco ASR 1001-X router running IOS XE in version 03.16.02.S with IOS version 15.5(3)S2. Unfortunately, Cisco’s implementation is not optimized for throughput. From our observations we assume that all cryptographic calculations for IKE are done by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device’s CPU despite it having a hardware accelerator for cryptography. One can easily overload cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device’s CPU for several seconds with a standard PC bursting handshake messages, even with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default limit for concurrent handshakes. And even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CPU load is kept below 100 %, we nevercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less observed packet loss.

For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 decryption attack on Cisco’s IKEv1 responder, we need to finish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bleichenbacher attack in 60 seconds. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public key of our ASR 1001-X router is 1024 bits long, we measured an average of 850 responses to Bleichenbacher requests per second. Therefore, an attack must succeed with at most 51,000 Bleichenbacher requests.

But anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r limit is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 management of Security Associations (SAs). There is a global limit of 900 Phase 1 SAs under negotiation per Cisco device in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 default configuration. If this number is exceeded, one is blocked. Thus, one cannot start individual handshakes for each Bleichenbacher request to issue. Instead, SAs have to be reused as long as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir error counter allows. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, establishing SAs with Cisco IOS is really slow. During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 negotiations in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first two messages of IKEv1 require more time than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 actual Bleichenbacher attack.

We managed to perform a successful decryption attack against our ASR 1001-X router with approximately 19,000 Bleichenbacher requests. However, due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 necessary SA negotiations, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack took 13 minutes.

For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 statistics and for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack evaluation of digital signature forgery, we used a simulator with an oracle that behaves exactly as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ones by Cisco, Clavister, and ZyXEL. We found that about 26% of attacks against IKEv1 could be successful based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cryptographic performance of our Cisco device. For digital signature forgery, about 22% of attacks could be successful under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same assumptions.

Note that (without a patched IOS), only non-cryptographic performance issues prevented a succesful attack on our Cisco device. There might be faster devices that do not suffer from this. Also note that a too slow Bleichenbacher attack does not permanently lock out attackers. If a timeout occurs, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can just start over with a new attack using fresh values hoping to require fewer requests. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim has deployed multiple responders sharing one key pair (e. g. for load balancing), this could also be leveraged to speed up an attack.

Responsible Disclosure

We reported our findings to Cisco, Huawei, Clavister, and ZyXEL. Cisco published fixes with IOS XE versions 16.3.6, 16.6.3, and 16.7.1. They furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r informed us that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PKE mode will be removed with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next major release.

Huawei published firmware version V300R001C10SPH702 for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Secospace USG2000 series that removes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bleichenbacher oracle and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 crash bugs we identified. Customers who use ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r affected Huawei devices will be contacted directly by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir support team as part of a need-to-know strategy.

Clavister removed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vulnerable aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication method with cOS version 12.00.09. ZyXEL responded that our ZyWALL USG 100 test device is from a legacy model series that is end-of-support. Therefore, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se devices will not receive a fix. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 successor models, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 patched firmware version ZLD 4.32 (Release Notes) is available.

FAQs

  • Why don't you have a cool name for this attack?
    The attack itself already has a name, it's Bleichenbacher's attack. We just show how Bleichenbacher attacks can be applied to IKE and how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y can break cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protocol's security. So, if you like, call it IPsec-Bleichenbacher or IKE-Bleichenbacher.
  • Do you have a logo for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack?
    No.
  • My machine was running a vulnerable firmware. Have I been attacked?
    We have no indication that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack was ever used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 wild. However, if you are still concerned, check your logs. The attack is not silent. If your machine was used for a Bleichenbacher attack, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re should be many log entries about decryption errors. If your machine was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one that got tricked (Responder A in our figures), cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n you could probably find log entries about unfinished handshake attempts.
  • Where can I learn more?
    First of all, you can read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper [alternative link to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper]. Second, you can watch cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r live at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference or later on this page.
  • What else does cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper contain?
    The paper contains a lot more details than this blogpost. It explains all aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication methods including IKEv2 and it gives message flow diagrams of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protocols. There, we describe a variant of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack that uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Bleichenbacher oracles to forge signatures to target IKEv2. Furcá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rmore, we describe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 quirks of Huawei's implementation including crash bugs that could allow for Denial-of-Service attacks. Last but not least, it describes a dictionary attack against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PSK mode of aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication that is covered in a separate blogpost.

Media Coverage, Blogs, and more

English

German

Practical Dictionary Attack on IPsec IKE

We found out that in contrast to public knowledge, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pre-Shared Key (PSK) aucá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ntication method in main mode of IKEv1 is susceptible to offline dictionary attacks. This requires only a single active Man-in-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-Middle attack. Thus, if low entropy passwords are used as PSKs, this can easily be broken.

Montag, 6. August 2018

Save Your Cloud: Gain Root Access to VMs in OpenNebula 4.6.1


In this post, we show a proof-of-concept attack that gives us root access to a victim's VM in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Cloud Management Platform OpenNebula, which means that we can read and write all its data, install software, etc. The interesting thing about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack is, that it allows an attacker to bridge cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gap between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cloud's high-level web interface and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 low-level shell-access to a virtual machine.

Montag, 30. Juli 2018

Save Your Cloud: DoS on VMs in OpenNebula 4.6.1

This is a post about an old vulnerability that I finally found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time to blog about. It dates back to 2014, but from a technical point of view it is nevercá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365less interesting: An XML parser that tries to fix structural errors in a document caused a DoS problem.

All previous posts of this series focused on XSS. This time, we present a vulnerability which is connected anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r Cloud Management Platform: OpenNebula. This Infrastructure-as-a-Service platform started as a research project in 2005. It is used by information technology companies like IBM, Dell and Akamai as well as academic institutions and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 European Space Administrations (ESA). By relying on standard Linux tools as far as possible, OpenNebula reaches a high level of customizability and flexibility in hypervisors, storage systems, and network infrastructures. OpenNebula is distributed using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Apache-2 license.

Freitag, 20. Juli 2018

Support for XXE attacks in SAML in our Burp Suite extension


In this post we present cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Burp Suite extension EsPReSSO - Extension for Processing and Recognition of Single Sign-On Protocols. A DTD attacker was implemented on SAML services that was based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DTD Cheat Sheet by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Chair for Network and Data Security (https://web-in-security.blogspot.de/2016/03/xxe-cheat-sheet.html). In addition, many fixes were added and a new SAML editor was merged. You can find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 newest version release here: https://github.com/RUB-NDS/BurpSSOExtension/releases/tag/v3.1

Mittwoch, 17. Januar 2018

Group Instant Messaging: Why blaming developers is not fair but enhancing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protocols would be appropriate

After presenting our work at Real World Crypto 2018 [1] and seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 enormous press coverage, we want to get two things straight: 1. Most described weaknesses are only exploitable by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 malicious server or by knowing a large secret number and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 protocols are still very secure (what we wrote in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper but some newspapers did not adopt) and 2. we see ways to enhance cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 WhatsApp protocol without breaking its features.

Beliebte Posts