Đừng sử dụng khóa được mã hoá cứng (Don't Use Hard-coded Keys - DUHK ) – là một lỗ hổng mới, có thể cho phép kẻ xấu khôi phục khoá mã hoá của các kết nối VPN và các phiên làm duyệt web.
Lỗ hổng này ảnh hưởng tới sản phẩm của hàng chục nhà cung cấp, trong đó bao gồm Fortinet, Cisco, TechGuard, những công ty sản xuất thiết bị dựa trên ANSI X9.31 RNG – một thuật toán sinh số giả ngẫu nhiên kết hợp với khoá dùng làm nhân được gắn cứng.
Trước khi bị loại khỏi danh sách các thuật toán sinh số giả ngẫu nhiên của FIPS chấp thuận vào tháng 1/2016, ANSI X9.31 RNG là một trong những tiêu chuẩn mật mã học được sử dụng trong suốt 3 thập kỷ.
Các bộ sinh số giả ngẫu nhiên (PRNG) không sinh số ngẫu nhiên, mà chỉ tạo ra chuỗi các bit xác định dựa vào một giá trị bí mật ban đầu được gọi là nhân và trạng thái hiện thời. Nó luôn sinh cùng một chuỗi các bit khi được dùng với cùng bộ giá trị ban đầu. Một số nhà cung cấp lưu giá trị bí mật dùng làm nhân đó trong mã nguồn của sản phẩm, điều này khiến cho chúng dễ bị lộ khi dịch ngược firmware.
Các nhà nghiên cứu Shaanan Cohney, Nadia Heninger và Matthew Green đã phát hiện DUHK là kiểu tấn công khôi phục trạng thái cho phép những kẻ xấu “đứng giữa” đã biết giá trị của nhân khôi phục giá trị trạng thái hiện thời sau khi theo dõi một số dữ liệu đầu ra.
Bằng việc sử dụng cả hai giá trị có được, kẻ xấu có thể dùng chúng để tính lại khoá mã hoá và giải mã dữ liệu đã mã hoá như dữ liệu kinh doanh, thông tin đăng nhập, số thẻ tín dụng và các thông tin bí mật khác.
Các nhà nghiên cứu cho biết, để chứng minh tính khả thi của kiểu tấn công này, họ đã phát triển một cuộc tấn công giải mã bị động đầy đủ với các sản phẩm FortiGate VPN gateway dùng FortiOS phiên bản 4. Kết quả dò quét của họ phát hiện ít nhất 23 ngàn thiết bị với địa chỉ Ipv4 công khai đang chạy phiên bản có lỗi của FortiOS.
Dưới đây là một phần danh sách các sản phẩm bị ảnh hưởng mà các nhà cung cấp đã thử nghiệm:
Thông tin cụ thể về lỗ hổng DUHK có được công bố tại địa chỉ https://duhkattack.com/.
05:00 | 29/12/2017
08:00 | 17/05/2024
Thế vận hội Paris 2024 đang chuẩn bị để sẵn sàng đối mặt với thách thức chưa từng có về mặt an ninh mạng, với việc các nhà tổ chức dự kiến sẽ phải chịu áp lực rất lớn đối với Thế vận hội vào mùa hè này.
10:00 | 24/04/2024
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
08:00 | 17/04/2024
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
09:00 | 02/04/2024
Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.
Năm 2024, các tác nhân đe dọa được dự báo sẽ tận dụng sức mạnh của trí tuệ nhân tạo (AI) để thực hiện các hoạt động lừa đảo một cách thông minh hơn. Bằng việc sử dụng công nghệ AI tạo sinh, chúng có thể tạo ra các chiến thuật tấn công mới, khó phát hiện và kiểm soát.
16:00 | 18/05/2024