Revista Informática

Duhk, un exploit que expone redes VPN y conexiones cifradas en 4 minutos

Publicado el 27 octubre 2017 por Lauratuero @incubaweb

Este mes de octubre será recordado por el mes en el que salieron a la luz varios exploit que han puesto en jaque a varios sistemas criptográficos. Recientemente salió a la luz KRACK, que mostraba la inseguridad del algoritmo WPA2 utilizado en conexiones WiFi. Ahora ha llegado el turno a otros algoritmos de cifrados que pone en peligro las sesiones privadas VPN y web. Sus descubridores lo han bautizado con el nombre DUHK.

Este ataque permite a un atacante utilizar cualquier ordenador moderno para generar llaves de cifrado que se encargan de proteger conexiones VPN, sesiones de navegación seguras y otro tipo de tráfico cifrado. Lo peor de todo, es que es capaz de conseguir estas claves en cuatro minutos.

Duhk, un exploit que expone redes VPN y conexiones cifradas en 4 minutos
Fuente: thehackernews

La investigación ha sido publicada por tres investigadores de la Universidad de Pensilvania y la Universidad Johns Hopkins. En ese estudio, explican cómo utilizaron el exploit para interceptar el tráfico cifrado de varios dispositivos que utilizan empresas alrededor del mundo como cortafuegos, o bien para crear redes VPN privadas.

Importante problema de seguridad

Si el exploit KRACK era considerado muy perjudicial, DUHK no se queda muy lejos. Su nombre hace referencia a “Don’t Use Hard-coded Keys” (no uses claves estáticas). Es precisamente esto uno de los problemas de este tipo de cifrados, ya que la clave de cifrado es estática y reside en el mismo código del firmware afectado. A eso hay que sumarle que esta vulnerabilidad afecta a un gran número de dispositivos, como equipos Fortinet o Cisco, entre otros muchos, que utilizan ANSI X9.31 RNG, un obsoleto algoritmo de generación de números pseudo-aleatorios, junto con una clave de iniciación codificada.

Duhk no es un fallo exclusivamente de estos algoritmos de encriptación, sino que parte de la culpa también recae sobre los fabricantes. Expertos de seguridad han descubierto que un gran número de fabricantes incluyen dentro del propio firmware de los dispositivos la semilla utilizada en el algoritmo que se encarga de generar las claves. Al utilizar siempre la misma semilla, la secuencia de bits que devolverá será la misma. Debido a esto, es posible que mediante ingeniería inversa, se consiga recuperar las claves privadas utilizadas en protocolos como VPN o en sesiones web privadas.

Con las claves privadas, el atacante podría descifrar las comunicaciones que, en teoría, son seguras y acceder, por ejemplo, a información confidencial sobre la empresa, logins, información bancaria, etc.

Para el usuario de soluciones criptográficas la única recomendación es mantener actualizados sus sistemas siempre. Lo demás depende de quienes implementan este tipo de técnicas en sus productos, especialmente aquellos que usan claves estáticas de cifrado en lugar de regenerar las claves constantemente.

Vía: bleepingcomputer


Volver a la Portada de Logo Paperblog