谈到在线隐私时，许多人都将VPN视为我们的救星：VPN允许员工在办公室之外安全地访问公司网络；在无线4G网络中，无线运营商使用VPN来保护其基站和核心网络之间的回程连接。持不同政见者和记者也使用VPN来规避地理限制、敌对监视和审查。VPN在防御潜在黑客攻击方面起着至关重要的作用。但是，如果VPN本身被黑了怎么办？

如今新的Bleichenbacher oracle加密攻击在世界范围内流行，它利用一个已有20年历史的协议漏洞，破坏了用于保护IP通信安全的互联网密钥交换（IKE）协议。攻击者可能能够利用此漏洞检索IKEv1会话密钥并解密连接，最终打开中间人（MitM）攻击或不良参与者访问VPN会话中携带的数据的大门。

这项技术由德国波鸿鲁尔大学（Ruhr-University Bochum）和波兰奥波莱大学（University of Opole）的一组学术研究人员发现，涉及跨IKE的不同版本和模式重用密钥对，这可能导致绕过跨协议身份验证。这允许攻击者欺骗目标IPSec端点，最终破坏加密机制。“我们在IKEv1模式下利用Bleichenbacher oracle，其中RSA加密的nonce用于身份验证，[攻击涵盖了] IKE的所有可用身份验证机制。

运行方式

IPsec（Internet Protocol Security）是在IP层保护网络数据包的协议栈。但是要为IPsec连接建立共享密钥，必须执行IKE协议。IKE由两个阶段组成，其中阶段1用于在两个对等体之间建立初始认证密钥材料。阶段2用于协商两者之间的许多不同的基于IP的连接的进一步导出的密钥。

概念验证仅针对IKEv1和IKEv2中的阶段1，攻击者模拟IKE设备。“一旦攻击者成功攻击了第1阶段，他们就会与受害者设备共享一组(错误的)经过认证的对称密钥，进而完成第2阶段——这对IKEv1和IKEv2都适用。”

在IKEv1中，第1阶段有四种身份验证方法：两种基于RSA加密的方法，一种基于签名的方法和基于预共享密钥（PSK）的方法。

在IKEv2中，阶段1省略了基于加密的身份验证方法，只留下基于签名和PSK的身份验证方法。

这些攻击基于Bleichenbacher oracles——一种已有20年历史的协议威胁，多年来一直用于破坏TLS在使用RSA加密时的机密性。研究人员现已发现，这些相同的‘预言’可以非常有效地用于解密随机数，这打破了在IKE的第一阶段的RSA加密认证。

此外，研究者还表示它们可用于伪造数字签名，这打破了第1阶段中基于签名的身份验证；在PSK方面，离线词典攻击是可能的。

现状

据悉，此次攻击将影响思科（CVE-2018-0131）、华为（CVE-2017-17305）、Clavister（CVE-2018-8753），影响Clavister cOS Core和ZyXEL（CVE-2018-9129），上述相关漏洞均已推出补丁，影响所有ZyWALL/USG设备的IKEv1实现。

该学术团队之前曾私下向四家供应商透露过这个问题；然而他们也指出，如果IKEv1 PKE和RPKE变种中的弱PSKs和Bleichenbacher or存在，IPsec IKE协议的所有版本和变体都可能被破坏。因此，主要操作系统和网络设备中的更多实现可能会受到影响，这取决于实际配置。

本文由 黑客视界 综合网络整理，图片源自网络；转载请注明“转自黑客视界”，并附上链接。