すべてのF5サイトを検索

推奨検索

ブログ

怖いキャンディウィーク: KRACKとROCA

2017 年 10 月 19 日公開

知っておくべきこと、やるべきこと

ハロウィーンが10月に行われるのは偶然ではありません。私たち人間は、この時期になると恐怖感を強く感じます。これは、日が短くなることに対する一種の痕跡的な反応です。ウォール街で原因不明の市場暴落が最も多かった月は何月ですか? 10月。もしハロウィンがもともと10月でなかったら、もっと自然に感じられる場所に移動していたでしょう。 10 月はサイバーセキュリティ啓発月間でもあります。

つまり、今週は「OMG、インターネットが壊れている！」という恐ろしいプロトコル脆弱性が 1 つではなく、「OMG、インターネットが壊れている！」という脆弱性が 2 つ発生したというのは、二重に完璧です。なんと10月16日月曜日、同日にリリースされました。

さらに悪いことに、後でわかるように、脆弱性が互いに悪影響を及ぼし合う可能性も考えられます。

クラック: けey R挿入 Attああ WPA2 WiFiに対して

ベルギーのセキュリティ研究者 Mathy Vanhoef 氏は、WPA2 認証プロトコルを使用する WiFi クライアントに対する攻撃を公開しました。ターゲットクライアントは、重複した WiFi ネットワークに参加するように騙され、ヌル (空白) の暗号化キーをインストールするよう強制され、攻撃者が中間者攻撃の立場をとることが可能になります。

Vanhoef 氏は、ブランドロゴ付きの脆弱性サイトkrackattacks.comで、KRACK 攻撃について簡潔に説明しています。 Vanhoef 氏が作成した、攻撃を実演する短いビデオをぜひご覧ください。

攻撃者がクライアントとアクセスポイントの間に中間者ポジションを確立すると、古き良き sslstrip ツールを使用してクライアントブラウザーを騙し、パスワードを暗号化せずに送信させることができます。この例では、match.com の認証情報を（楽しみのために）使用しているため、Vanhoef は元恋人のデート習慣をスパイするために必要なすべての情報を提供したことになります。ハロウィンに間に合いました！[冗談です、そんなことはしないでください。]

賢明な読者は、「安全でないネットワークのために SSL 保護があるんだ！」と考えるでしょう。だから僕たちはまだ安全だよね？」

さて、偶然にも KRACK と同じ日に公開されたもう 1 つの恐ろしい脆弱性は、高度に安全な暗号デバイスから生成される弱いキーに関係しています。うわっ！

ROCA – Coopersmith 攻撃の再来 (CVE-2017-15361)

最新の SSL/TLS 脆弱性は ROCA (Return of Coppersmith's Attack) です。 Ars Technica は、ROCA の範囲と影響について、これまで見た中で最も優れた記事を掲載しています。 ROCA は、Infineon ソフトウェアが 2 つの大きな素数を近似するために「高速素数」と呼ばれる近道を試みる時間制限のある状況で実行される公開/秘密 RSA キー生成に影響します。

ROCA は、スマートカードや組み込みの高セキュリティ (信頼できるコンピューティング) 環境でよく使用される Infineon チップセットに関連するソフトウェアに影響します。今年は 10 月なので、もちろんこれらのチップセットは FIPS 140-2 および CC EAL 5+ 認定ハードウェアに搭載されています。どちらも、秘密鍵を秘密に保つために数万ドルを支払うソリューションです。 Infineon のバグにより、攻撃者が公開鍵 (公開されており、証明書などに埋め込まれているため、ほとんどの場合) を知ると、秘密鍵は事実上因数分解可能になります。

攻撃者が 2048 ビットの秘密鍵を解読するには、CPU 時間で 20,000 ～ 40,000 ドルかかります。しかし、攻撃者が国家である場合、それは彼らにとって大きな抑止力にはなりません。 1024 ビットのキーを因数分解するコストはわずか約 50 ドルで、これはヤンキースの試合でビール 2 杯を飲むのと同じくらいのコストです。 F5 Labs の独自の調査によると、インターネット上でまだこれほど小さいキーを使用しているのはわずか 7% です。 ROCA のような攻撃こそが、私たち全員が 2048 ビットにアップグレードした理由ですよね? それは私たちにとって良いことだ。 ECC キーは脆弱ではありません。

これまでのところ、脆弱なキーの大部分はスマートカードに関連付けられていますが、研究者は少数の脆弱な TLS キーと Github キーを発見しています。脆弱な 1024 ビット DNSSEC キーについてはまだ何も発表されていませんが、攻撃者が独自の悪意のあるゾーンデータに署名できるため、これは恐ろしいことです。

図 2 (roca/detect.py より) – ROCA のテストは非常にシンプルです

興味深いことに、キーが ROCA に対して脆弱であるかどうかを確認するのは基本的に無料で即時に行えます。公開鍵の係数が特定の方法で 38 個の小さな素数に適合する場合、脆弱である可能性があります。 ROCA の研究者は、SSL/TLS、IPSec、SSH キーを確認するためのオンラインツールとオフラインツールの両方を提供しています。

脆弱性をチェックするのは非常に簡単なので、ROCA に対して脆弱なキーを使用してサイトにアクセスすると、ブラウザがすぐに警告を出すようになると予想されます。最初に私たちからそれを聞いたのです。

KRACK + ROCA 攻撃: 最悪のシナリオは何でしょうか?

これはハロウィーン映画の脚本を書くようなものです。あなたが高セキュリティ環境（スパイ管理オフィス）にいると想像してください。あなたの敵は世界最悪の敵です。S.P.E.C.T.R.E. かそれに似たものを想像してください。

工作員の 1 人が Windows 10 ラップトップをイスタンブールオフィスのワイヤレスネットワークに接続します。彼は、S.P.E.C.T.R.E. のカウンターエージェントが Wi-Fi を偽装し、CSA チャネルビーコンを彼のラップトップに送信していることを知りません。数秒以内に、工作員のラップトップは、対抗エージェントのアクセスポイントを経由してルーティングされます。工作員は SSL/VPN (残念ながら F5 ではありません) を有効にして、本社にある極秘の企業データにアクセスします。

カウンターエージェントはすでに国家レベルの能力を利用して、ROCA の脆弱性から SSL/VPN の秘密鍵を抽出しています。彼は、エージェントが極秘サーバーからダウンロードするすべてのものを復号化できます。また、カウンターエージェントはあなたのエージェントのmatch.comパスワードを入手します。

この最悪のシナリオは起こり得ないと思いますか? もっと奇妙なことが起きています。[咳、<stuxnet>、咳、<eternal blue>]。

KRACKとROCA: あなたは脆弱ですか?

F5 Networks のハードウェアとソフトウェア: 脆弱ではありません。 F5 はワイヤレス事業には携わっていません。理論的には当社の TMOS プラットフォームをアクセスポイントとして使用することは可能ですが、ありがたいことにこれを実行する人はいません。 KRACK については、F5 Networks SIRT の公式 KRACK 声明を参照してください。

F5 Networks は間違いなく SSL/TLS キーのビジネスに携わっています。ここでも、F5 の機器とソフトウェアは脆弱ではありません。当社では、いくつかのアプライアンスで Infineon チップセットを使用していますが、そのキー生成は使用していません。 F5 Networks SIRT からの公式 ROCA 声明をご覧ください。

あなたの装備（KRACK）：脆弱ですが…KRACK は WiFi 接続のクライアント側を攻撃します。したがって、ある意味では、アクセスポイントにパッチが適用されているかどうかは、実際には重要ではありません。いずれにせよ、アクセスポイントにパッチを適用する必要がある (優れたセキュリティプラクティス) ことに同意しますが、それだけではユーザーを KRACK から保護することはできません。 WPA2 WiFi パスワードを変更する必要はありません。パスワードは問題の原因にはならず、変更しても何も影響はありません。

あなたの装備（ROCA）：理想的には、企業に関連付けられているすべての SSL/TLS 証明書を把握しておく必要があります。「理想的」と言うのは、これが当てはまることはほとんどないからです。現在では、事業部門は常に独自の証明書を持ち込んでいます。堅牢で包括的な証明書管理ソリューションを導入している場合は、おそらくすでにこの問題を解決しているでしょう。そうでない場合は、F5 のパートナーであるVenafi がネットワークをスキャンして SSL/TLS キーを検索できます。証明書をすばやくスキャンする必要がある場合は、証明書の透明性プロジェクトのデータベース ( crt.sh ) にアクセスし、組織の証明書を検索します。次に、ROCA テストツールを使用して、それらの公開キーが脆弱かどうかを確認します。

あなたの従業員。 Apple は数バージョン前のステルスパッチで iOS と MacOS を修正しました (まだどのバージョンかは明らかにされていません)。 Android および Linux クライアントが最も脆弱であるようです。 Microsoft クライアントも脆弱です。 KRACK にとって最優先事項は従業員です。

ハロウィーンのTODOリスト

ハロウィーンの衣装を選ぶこと（提案：今年はクラーケンがぴったりかもしれません）以外にも、KRACK と ROCA の TODO リストに追加する項目がいくつかあります。

SSL/VPN ソリューションを強化します。現在のアカウントに多要素認証 (MFA) がない場合は、MFA が備わったアカウントに置き換えてください。 MFA は、攻撃者が KRACK 経由で侵害された資格情報を使用して企業のサービスにアクセスするのを防ぎます。
sslstrip ツールに対抗するには、F5 Local Traffic Manager で HTTP Strict Transport Security を有効にします。ネットワークチームがサポートしている場合 (可能性が高い)、ネットワークチームにチケットを開いてください。
WebSafe のお客様の場合は、重要な Web アプリの機密フィールドに対してアプリケーション層暗号化を有効にします。
MobileSafe のお客様の場合は、DNS スプーフィングの検出と証明書の検証を実装します。
組織の証明書に ROCA 脆弱性がないか監査します。必要に応じて、Venafi または別の SSL 証明書スキャナーを導入します。
組織に対して発行された証明書については、証明書の透明性プロジェクトのデータベース ( crt.sh ) を確認してください。
従業員のラップトップとモバイルに OS パッチを配布します。
ユーザーのパスワードを期限切れにします。特に Android ユーザーや「ActiveSync」プロトコルを呼び出すユーザーの場合、パスワードが侵害された可能性があると想定してください。

当社の脅威インテリジェンスサイトであるF5 Labsと開発者コミュニティであるDevCentral では、引き続きこれらのトピックを調査しており、必要に応じて追加の資料を公開する予定です。 2 つの脆弱性、または上記で説明した解決策についてさらに質問がある場合は、遠慮なくF5 の担当者にお問い合わせください。

関連して、F5 の DevCentral チームは KRACK の脆弱性についてさらに詳しく説明したビデオを投稿しており、追加の解説は次の F5 Labs の投稿でご覧いただけます。 BYOD ポリシーの KRACK をすり抜ける新たな脅威

推奨検索

怖いキャンディウィーク: KRACKとROCA

知っておくべきこと、やるべきこと

クラック: けey R挿入 Attああ WPA2 WiFiに対して

ROCA – Coopersmith 攻撃の再来 (CVE-2017-15361)

KRACK + ROCA 攻撃: 最悪のシナリオは何でしょうか?

KRACKとROCA: あなたは脆弱ですか?

関連するF5ソリューション

ハロウィーンのTODOリスト

安全で優れたデジタル体験を提供する

怖いキャンディウィーク: KRACKとROCA

知っておくべきこと、やるべきこと

クラック: けey R挿入 Attああ WPA2 WiFiに対して

ROCA – Coopersmith 攻撃の再来 (CVE-2017-15361)

KRACK + ROCA 攻撃: 最悪のシナリオは何でしょうか?

KRACKとROCA: あなたは脆弱ですか?

関連するF5ソリューション

ハロウィーンのTODOリスト

安全で優れたデジタル体験を提供する

私たちとつながる