DUHK CRYPTO RECUPERA CLAVES DE CIFRADO

Nuevo ataque criptográfico conocido como DUHK es una combinación de dos factores principales

El primero es el uso del generador de números aleatorios X9.31 ANSI (RNG). Este es un algoritmo que toma datos aleatorios y genera claves de cifrado utilizadas para asegurar las conexiones VPN, sesiones de navegación, y otros tráfico / datos cifrados.

El segundo factor que es necesario para un ataque DUHK es cuando los fabricantes de hardware utilizan una "clave de semilla" codificado para el algoritmo ANSI X9.31 RNG. Normalmente, los proveedores deben generar una clave de semilla aleatoria al iniciar el dispositivo o antes de iniciar el algoritmo ANSI X9.31.

Esto significa que cuando usted tiene productos de hardware / software que combinan ANSI X9.31 e implementa una llave codificada de semillas, los atacantes pueden descifrar las comunicaciones cifradas llevado a cabo a través de ese dispositivo. Esto incluye las comunicaciones que pasan a través de conexiones VPN o sesiones web cifradas que llevan a cabo las credenciales de inicio de sesión, información de pago, información Intranet, datos de la empresa privada, y más.

Los dispositivos FortiGate de Fortinet antiguos son vulnerables a los ataques DUHK

El ataque DUHK fue descubierto por dos investigadores de la Universidad de Pensilvania y uno de los investigadores de la Universidad Johns Hopkins.

En un trabajo de investigación que ha sido publicado, titulado "ataques de recuperación estatales prácticos contra implementaciones legado RNG", revelan que los investigadores fueron capaces de recuperar el tráfico cifrado de dispositivos FortiGate de Fortinet utilizados por las empresas en todo el mundo como cortafuegos o para crear redes privadas VPN.

El equipo de investigación dice que invierten las imágenes de firmware FortiGate diseñado y encontraron la llave de semillas no modificable. A continuación, observaron el tráfico que viene desde el dispositivo afectado y el uso de la clave de semillas, que los datos cifrados bruta obligados a adivinar el resto de los parámetros de cifrado. Esto, a su vez, les permitió determinar la clave de cifrado principal.

Los dispositivos FortiGate de Fortinet utilizan FortiOS 4.3.0 a 4.3.18 FortiOS son vulnerables a ataques DUHK (CVE-2016-8492). FortiOS 5.x no se ve afectada, mientras que Fortinet ha sacado la llave de semillas no modificable en FortiOS 4.3.19 después de que investigadores contactaron con la empresa.

En el momento de su investigación, los expertos dijeron que encontraron más de 23.000 dispositivos antiguos con 4.x Fortinet expuestos en línea. Este número podría ser mayor, ya que algunos dispositivos podrían estar ubicados en redes con firewall, pero sigue siendo vulnerable a los ataques.

¿Como se produce el ataque Duhk?

El ataque no es sencillo, pero los investigadores dicen que es práctico ya que un atacante usando una computadora moderna puede recuperar la clave de cifrado en alrededor de cuatro minutos por cada conexión.

No hay ninguna interacción del usuario necesaria para llevar a cabo un ataque DUHK, ya que todo el actor de la amenaza solo necesita una posición para observar el tráfico procedente de un dispositivo vulnerable. Debido a que este es un ataque a la red pasiva, las víctimas no pueden detectar cuando alguien usa un ataque DUHK contra ellos.

El equipo de investigación también advierte que otros productos de hardware y de software también pueden verse afectados por los ataques DUHK. Los investigadores también publicaron una lista de productos en los que se encuentran las claves de semillas ANSI X9.31 no modificables.

Fecha actualización el 2021-10-24. Fecha publicación el 2017-10-24. Categoría: Seguridad. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer
claves de cifrado