DUHK-Angriff: Zufallszahlengenerator ermöglicht Abhör-Attacke

Die fehlerhafte Verwendung eines Zufallszahlengenerators in der Firmware von Internet-Geräten von Fortinet ermöglicht das Knacken von Krypto-Keys und in der Folge das Mitlesen von VPN und SSL/TLS-verschlüsseltem Internet-Traffic. Den auf den Namen DUHK (Don't Use Hardcoded Keys) getauften Angriff hat ein Team bekannter Kryptoforscher entdeckt und in einem Whitepaper beschrieben. Im Rahmen ihres Proof-of-Concept nahmen die Forscher aus der Ferne Fortinet-Geräte in die Zange, auf denen die Betriebssysteme FortiOS 4.30 bis FortiOS 4.3.18 liefen. Ihren Angaben zufolge glückte der Angriff bei 97 Prozent von insgesamt 2.336 kontaktierten Hosts.

Den Ausgangspunkt für den DUHK-Angriff bildet laut Forscher-Team der mittlerweile überholte ANSI-Standard X9.31 Random Number Generator (RNG) zum Generieren von Zufallszahlen. DUHK funktioniert immer dann, wenn – wie in den genannten FortiOS-Versionen – zum Initialisieren des Generators nicht etwa ein zufälliger, sondern ein im Code festgeschriebener, stets identischer Initialisierungswert (Seed Key) zum Einsatz kommt. Ist dieser Wert dem Angreifer bekannt, kann er im Rahmen eines passiven, lauschenden Angriffs unter Abfangen einiger unverschlüsselt übertragener Zufallszahlen sowie eines – mittels Brute-Force relativ leicht herauszufindenden – Timestamps den Key für die aktuelle TLS- beziehungsweise VPN-Verbindung rekonstruieren.

Sicherheitsrisiko mit FIPS-Zertifizierung

Obgleich aktuelle FortiOS-Versionen die mit der Kennung CVE-2016-8492 bezeichnete Schwachstelle nicht mehr aufweisen, identifizierten die Forscher im Internet mehr als 25.000 theoretisch mit DUHK angreifbare Fortinet-Geräte. Wie auch der Hersteller selbst raten sie deshalb dringend zu einem Update auf FortiOS ab Version 4.3.18.

Bedenklich ist, dass die fehlerhafte X9.31-Implementierung in FortiOS damals durch den Federal Information Processing Standard (FIPS) zertifiziert wurde. Und nicht nur das: In einer Liste im Whitepaper führt das Forscherteam elf weitere FIPS-zertifizierte Produktlinien verschiedener Hersteller auf, die infolge eines hardgecodeten Seed-Keys ebenfalls angreifbar sind. Auf der eigens für DUHK eingerichteten Webseite bezeichnen die Forscher den Angriff dementsprechend auch als "historischen Fehlschlag" des Krypto-Standardisierungsprozesses.

Kein Grund zur Panik

Die Durchführung des DUHK-Angriffs ist an eine ganze Reihe von Voraussetzungen geknüpft und nicht ganz trivial. So müsste ein potenzieller Angreifer den Ausführungen der Forscher zufolge zunächst den Seed-Key aus einem Firmware-Image extrahieren. Des Weiteren müsste er während des initialen IKEv2-Handshakes den Traffic beider Kommunikationspartner mitlesen und zwei verschiedene Brute-Force-Schritte durchführen, bevor er ihn entschlüsseln könnte.

Den FAQ auf der DUHK-Webseite ist zu entnehmen, dass dem Team bislang keine Fälle bekannt sind, in denen ihr Angriff in der Praxis von Kriminellen missbraucht wurde. Gegenüber Threatpost betonte die am Projekt beteiligte Kryptografin Nadia Heninger zwar, dass das Update auf eine aktuelle FortiOS-Version wichtig sei. Es bestehe aber kein Grund, sich allzu viele Sorgen zu machen: DUHK sei kein Angriff, der "typischerweise von Scriptkiddies durchgeführt werde". (ovw)