DUHK – Lỗ hổng của các nhà sản xuất thiết bị an ninh
Đừng sử dụng khóa được mã hoá cứng (Don't Use Hard-coded Keys - DUHK ) – là một lỗ hổng mới, có thể cho phép kẻ xấu khôi phục khoá mã hoá của các kết nối VPN và các phiên làm duyệt web.
Lỗ hổng này ảnh hưởng tới sản phẩm của hàng chục nhà cung cấp, trong đó bao gồm Fortinet, Cisco, TechGuard, những công ty sản xuất thiết bị dựa trên ANSI X9.31 RNG – một thuật toán sinh số giả ngẫu nhiên kết hợp với khoá dùng làm nhân được gắn cứng.
Trước khi bị loại khỏi danh sách các thuật toán sinh số giả ngẫu nhiên của FIPS chấp thuận vào tháng 1/2016, ANSI X9.31 RNG là một trong những tiêu chuẩn mật mã học được sử dụng trong suốt 3 thập kỷ.
Các bộ sinh số giả ngẫu nhiên (PRNG) không sinh số ngẫu nhiên, mà chỉ tạo ra chuỗi các bit xác định dựa vào một giá trị bí mật ban đầu được gọi là nhân và trạng thái hiện thời. Nó luôn sinh cùng một chuỗi các bit khi được dùng với cùng bộ giá trị ban đầu. Một số nhà cung cấp lưu giá trị bí mật dùng làm nhân đó trong mã nguồn của sản phẩm, điều này khiến cho chúng dễ bị lộ khi dịch ngược firmware.
Các nhà nghiên cứu Shaanan Cohney, Nadia Heninger và Matthew Green đã phát hiện DUHK là kiểu tấn công khôi phục trạng thái cho phép những kẻ xấu “đứng giữa” đã biết giá trị của nhân khôi phục giá trị trạng thái hiện thời sau khi theo dõi một số dữ liệu đầu ra.
Bằng việc sử dụng cả hai giá trị có được, kẻ xấu có thể dùng chúng để tính lại khoá mã hoá và giải mã dữ liệu đã mã hoá như dữ liệu kinh doanh, thông tin đăng nhập, số thẻ tín dụng và các thông tin bí mật khác.
Các nhà nghiên cứu cho biết, để chứng minh tính khả thi của kiểu tấn công này, họ đã phát triển một cuộc tấn công giải mã bị động đầy đủ với các sản phẩm FortiGate VPN gateway dùng FortiOS phiên bản 4. Kết quả dò quét của họ phát hiện ít nhất 23 ngàn thiết bị với địa chỉ Ipv4 công khai đang chạy phiên bản có lỗi của FortiOS.
Dưới đây là một phần danh sách các sản phẩm bị ảnh hưởng mà các nhà cung cấp đã thử nghiệm:
Thông tin cụ thể về lỗ hổng DUHK có được công bố tại địa chỉ https://duhkattack.com/.