Cisco heeft een patch voor zijn IOS- en IOS XE-softwaresoftware uitgebracht, die zakelijke VPN’s moet beschermen tegen cryptoaanvallen. De nieuwe aanvallen bedreigen zakelijke VPN’s en zouden zich op netwerken kunnen richten via man-in-the-middle aanvallen. De patch die Cisco heeft ontwikkeld, lost de problemen voor zijn veelgebruikte IOS en IOS XE-switch op.
De netwerkgigant heeft vandaag de patch uitgebracht, vlak voordat USENIX Security Symposium in Baltimore plaatsvindt. Daar zullen onderzoekers nieuwe aanvallen onthullen, die grote VPN’s kunnen bedreigen en gericht zijn op IPsec IKE. De grote VPN’s worden bijvoorbeeld gebruikt door industriële dataoverdrachten en andere vormen van communicatie die gebruikmaken van de Cisco-kit.
Kwetsbaarheid binnen IKE
De aanvallen zijn mogelijk door een kwetsbaarheid binnen het Internet Key Exchance-protocol, dat gebruikt wordt om middels IPSec beschermde VPN’s op te zetten. Bij de aanval wordt een sleutel opnieuw gebruikt binnen de eerste en tweede versies van het IKE key exchange protocol, IKEv1 en IKEv2. Die staan aanvallers toe zich voor te doen als een netwerk, of om een man-in-the-middle aanval uit te voeren tegen twee partijen.
Beide kwetsbaarheden kunnen in de grootste besturingssystemen gebruikt worden, evenals in netwerkapparaten als switches en firewalls. De onderzoekers hebben dergelijke kwetsbaarheden ook gevonden binnen apparatuur van andere fabrikanten van netwerkapparatuur, waaronder Huawei, Clavister en Zyxel.
Andere oplossingen
Cisco is niet het enige bedrijf dat met een oplossing voor de problemen komt. Ook Huawei, Clavister en Zyxel komen met oplossingen en hebben daar nieuwe firmware voor uitgebracht. Volgens Cisco heeft de kwetsbaarheid enkele effect op zijn IOS en IOS XE-software.
“De kwetsbaarheid bestaat omdat de beïnvloede software incorrect reageert op mislukte cecryption. Een aanvaller zou hier misbruik van kunnen maken, door teksten naar een apparaat dat werkt met IKEv1 te sturen,” aldus Cisco. “Een succesvolle exploit zou de aanvaller ertoe in staat stellen om de versleutelde informatie buit te maken.”