Innominate Mguard gyenge HTTPS és SSH kulcsok

CH azonosító

CH-7050

Angol cím

Innominate Mguard Weak HTTPS and SSH keys

Felfedezés dátuma

2012.06.17.

Súlyosság

Kritikus

Érintett rendszerek

EAGLE mGuard
Innominate
mGuard
mGuard Blade
mGuard Delta
mGuard Industrial RS
mGuard PCI
mGuard Smart

Érintett verziók

mGuard SmartHW-101020, HW-101050, BD-101010, BD-101020,
mGuard PCIHW-102020, HW-102050, BD-111010, BD-111020,
mGuard Industrial RSHW-105000, BD-501000, BD-501010, BD-501020,
mGuard BladeHW-104020, HW-104050,
mGuard DeltaHW-103050, BD-201000,
EAGLE mGuardHW-201000, BD-301010,
Minden 2006 előtt gyártott termék.

Összefoglaló

Az Innominate mGuard hálózati termékek olyan sérülékenységét jelentették, amelyet a támadók kihasználva bizalmas adatokat szivárogtathatnak ki és Man-in-the-Middle (MitM) támadásokat hajthatnak végre.

Leírás

  • Nem elégséges entrópia
    Az mGuard termékek HTTPS és SSH kulcsok generálása során alkalmazott entrópia nem elégséges, így a generált kulcsok túl gyengék lehetnek. A privát kulcsok kiszámításával egy támadó Man-in-the-Middle (MitM) támadást hajthat végre. Ezt kihasználva tetszőleges kódot lehet futtatni, vagy jogosulatlan hozzáférést lehet szerezni a rendszerhez. Az mGuard konfiguráció (például VPN) részét képező kulcsok nem érintettek.
  • A sérülékenység kihasználhatósága
    A támadó a felhasználó munkamenet azonosítóját megbecsülheti (predict), így eltérítheti a munkamenetét egy távolról végrehajtott Man-in-the-Middle (MitM) támadással, ezáltal a támadó káros kódot tud beszúrni, vagy meg tudja változtatni a rendszer beállításait.
    A támadás sikeres végrehajtásához szükséges, hogy a támadó fizikailag hozzáférjen a hálózati útvonalhoz az eszköz és a rendszergazda között vagy képes legyen a legitim eszköz hálózati forgalmát eltéríteni olyan technikákkal, mint ARP hamisítás (ARP spoofing).

Megoldás

A 7.5.0 vagy újabb szoftver verziók HTTPS és SSH kulcsok generálása előtt megfelelően alkalmazzák a meglévő entrópiát, továbbá az RSA kulcsok méretét is növelik 1024 bitről 2048 bitre. A szoftver frissítés megtalálható az Innominate letöltő oldalán. A gyártó javasolja a jelszavak cseréjét az új kulcsok generálása után.

Innominate az alábbi három megoldási folyamatból javasolja valamelyik használatát:

  1. Használja a helyreállítási folyamatot (Rescue Procedure) az új 7.5.0 verzió telepítéséhez. Az új kulcsok a folyamat részeként generálva lesznek.
  2. Használja a frissítési mechanizmust a 7.5.0 verzióra való frissítéshez.
    1. Telepítse a frissítést. A meglévő kulcsok meg fognak maradni.
    2. A frissítés után, a meglévő kulcsokat ki kell cserélni az alábbi módszerek valamelyikével:
      I. Webes felhasználói felület
      1. Lépjen be root vagy rendszergazda felhasználóként.
      2. Kattintson a “Generate new 2048 bit keys” gombra vagy a “Web Settings -> Access” esetleg a “System Settings -> Shell Access” menüre.
      3. Jegyezze fel az újonnan generált kulcsok kimenetének lenyomatát.
      4. Jelentkezzen be HTTPS-en keresztül és hasonlítsa össze a böngésző által visszaadott tanúsítvány információkat.
      II. Konzol
      1. Jelentkezzen be soros konzolon vagy SSH-n keresztül root vagy rendszergazda felhasználóként.
      2. Futtassa a következő programot: $ rsa_renewal update.
      3. Jegyezze fel az újonnan generált kulcsok kimenetének lenyomatát.
      4. Lépjen be SSH-n keresztül és hasonlítsa össze az SSH által visszaadott lenyomatokat.
  3. SSH-n keresztül root-ként az Innominate által megadott shell script-et töltse fel és futtassa. A script új 2048 bites kulcsokat fog generálni a 7.5.0 verzióra való frissítés nélkül.
    1. A script letölthető a gyártó oldaláról letölthető.
    2. Használja az scp-t a script mGuard-ra másolásához (ez beállítás függő):
      $ scp generate_2048key.sh root@192.168.1.1:/root/
    3. Jelentkezzen be SSH-n keresztül root felhasználóként.
    4. Futtassa a scriptet: sh /root/generate_2048key.sh.
    5. Jegyezze fel az újonnan generált kulcsok kimenetének lenyomatát.
    6. Lépjen be SSH-n keresztül és hasonlítsa össze az SSH által visszaadott lenyomatokat.

További javaslatok a kockázatok csökkentésére:

  • Minimalizálja a vezérlőrendszer eszközök hálózati elérhetőségét!A kritikus eszközök ne érjék el közvetlenül az Internetet!
  • A vezérlőrendszer hálózatokat és a távolról elérhető eszközöket védje tűzfalakkal és szigetelje el őket az üzleti hálózattól!
  • Távoli hozzáférés szükségessége esetén használjon olyan biztonsági megoldásokat, mint a virtuális magánhálózat (VPN)!