恐怖糖果周： KRACK 和 ROCA

你需要知道什么以及你需要做什么

万圣节恰逢十月，这并非巧合。 每年的这个时候，我们人类的恐惧感都会增强；这是对白天变短的某种残留反应。 华尔街哪个月份发生的市场崩溃最难以解释？ 十月。 如果万圣节原本不是在十月份，我们会将其移到十月份，这样会感觉更自然。 十月恰好也是网络安全意识月。

因此，本周我们获得的不只是一个可怕的“天哪，互联网坏了！”协议漏洞，而是两个“天哪，互联网坏了！”漏洞，这真是双重完美。 发布日期恰好是同一天——10 月 16 日星期一。

更糟糕的是，正如您将看到的，这些漏洞可能会以可怕的方式相互叠加。

克拉克： 钾艾伊 R插入附件确认 针对 WPA2 WiFi

比利时安全研究员 Mathy Vanhoef 发布了针对使用 WPA2 身份验证协议的 WiFi 客户端的攻击。 目标客户端可以被诱骗加入重复的 WiFi 网络，然后被迫安装空的加密密钥，从而允许攻击者占据中间人地位。

Vanhoef 在带有品牌和标志的漏洞网站krackattacks.com上简明扼要地解释了 KRACK 攻击。 我们强烈建议您观看 Vanhoef 制作的演示此次袭击的短片。

一旦攻击者在客户端和接入点之间取得中间人位置，他就可以使用老式的 sslstrip 工具来诱骗客户端浏览器以明文形式发送密码。 该示例使用了 match.com 凭证（为了好玩），所以 Vanhoef 只给了你监视前任约会习惯所需的一切。 正好赶上万圣节！[开玩笑的，别这么做。]

精明的读者会想，“嘿，不安全的网络就是我们需要 SSL 保护的原因！ 所以我们还是安全的，对吧？”

好吧，巧合的是，与 KRACK 同一天发布的另一个可怕的漏洞与从高度安全的加密设备生成的弱密钥有关。 哇！

ROCA – Coopersmith 攻击卷土重来 (CVE-2017-15361)

最新的 SSL/TLS 漏洞是 ROCA - 铜匠攻击的回归。 Ars Technica 对 ROCA 的范围和影响进行了迄今为止我们所见过的最佳描述。 ROCA 会影响在时间受限条件下完成的公钥/私钥 RSA 密钥生成，此时英飞凌软件会尝试采用一种称为“快速素数”的捷径来近似两个大素数。

ROCA 会影响与英飞凌芯片组相关的软件，这些芯片组常用于智能卡和嵌入式高安全性（可信计算）环境。 现在是十月份，这些芯片组当然是采用 FIPS 140-2 和 CC EAL 5+ 认证的硬件，这两种解决方案都需要您花费数万美元才能保证您的私钥的私密性。 一旦攻击者知道了公钥（公钥几乎总是公开的，并且嵌入在证书中等），英飞凌漏洞就会导致私钥实际上可以被分解。

攻击者需要花费 20,000 到 40,000 美元的 CPU 时间来分解您的 2048 位私钥。 然而，如果攻击者是一个民族国家，这对他们来说就没有什么威慑力。 分解一个 1024 位密钥的成本仅为 50 美元左右——相当于观看一场洋基队比赛时喝两杯啤酒的费用。 根据 F5 实验室自己的研究，只有 7% 的互联网仍在使用这么小的密钥。 像 ROCA 这样的攻击正是我们都升级到 2048 位的原因，对吧？ 对我们有好处。 ECC 密钥不易受到攻击。

到目前为止，绝大多数易受攻击的密钥都与智能卡有关，但研究人员发现了少数易受攻击的 TLS 和 Github 密钥。 目前还没有关于易受攻击的 1024 位 DNSSEC 密钥的消息；这将是可怕的，因为攻击者随后可以签署他们自己的恶意区域数据。

有趣的是，检查密钥是否容易受到 ROCA 攻击基本上是免费且即时的。 如果公钥模数以某种方式符合 38 个小素数，那么它很可能存在漏洞。 ROCA 研究人员提供了在线和离线工具供您检查您的 SSL/TLS、IPSec 和 SSH 密钥。

鉴于检查漏洞非常容易，我们预测，如果您访问使用易受 ROCA 攻击的密钥的网站，浏览器很快就会向您发出警告。 您首先从我们这里听说了这个。

KRACK + ROCA 攻击： 最坏的情况是怎样的？

这就像写万圣节电影剧本一样。 想象一下你处于一个高度安全的环境（间谍管理办公室）。 你的敌人是世界上最坏的敌人；想想 S.P.E.C.T.R.E. 或类似的东西。

您的一名工作人员将他的 Windows 10 笔记本电脑连接到您伊斯坦布尔办公室的无线网络。 他不知道 S.P.E.C.T.R.E. 反间谍正在欺骗 Wi-Fi 并向他的笔记本电脑发送 CSA 信道信标。 几秒钟之内，你的特工的笔记本电脑就会通过反特工接入点进行路由。 您的特工激活他的 SSL/VPN（不幸的是不是 F5）来访问总部的一些绝密公司数据。

反方代理已经利用其民族国家能力从 ROCA 漏洞中分解出 SSL/VPN 的私钥。 他可以解密你的特工从绝密服务器下载的所有内容。 此外，柜台代理还会获取您代理的 match.com 密码！

您认为这种最坏的情况不会发生吗？ 更奇怪的事情发生了。[咳嗽，<stuxnet>，咳嗽，<永恒之蓝>]。

KRACK 和 ROCA： 你是脆弱的吗？

F5 网络硬件和软件： 不易受伤害。 F5 不涉足无线业务。 虽然理论上可以使用我们的 TMOS 平台作为接入点，但谢天谢地没有人这样做。 对于 KRACK，请参阅 F5 Networks SIRT 的官方 KRACK 声明。

F5 Networks 肯定从事 SSL/TLS 密钥业务。 再次强调，F5 设备和软件不易受到攻击。 我们确实在一些设备中使用了英飞凌芯片组，但我们并不使用它的密钥生成。 请参阅 F5 Networks SIRT 的官方 ROCA 声明。

您的设备（KRACK）： 存在漏洞，但是... KRACK 会攻击 WiFi 连接的客户端。 因此从某种意义上来说，你的接入点是否修补并不重要。 我们一致认为，无论如何你都应该修补你的接入点（良好的安全措施），但这并不能保护你的用户免受 KRACK 的侵害。 无需更改您的 WPA2 WiFi 密码；它们从来都不是问题的一部分，更改它们不会影响任何事情。

您的设备（ROCA）： 理想情况下，您应该了解与您的企业相关的每个 SSL/TLS 证书。 我们说“理想情况下”，因为这种情况很少见；业务部门现在一直都自带证书。 如果您已经有了强大、全面的证书管理解决方案，那么您可能已经了解了这一切。 如果没有，F5 的合作伙伴Venafi可以扫描您的网络以查找 SSL/TLS 密钥。 如果您需要快速扫描证书，请转到证书透明度项目的数据库（ crt.sh ）并搜索您的组织证书。 然后使用 ROCA 测试工具查看这些公钥是否存在漏洞。 

您的员工。 Apple 在几个版本之前通过秘密补丁修复了 iOS 和 MacOS（他们还没有透露是哪一个）。 Android 和 Linux 客户端似乎是最容易受到攻击的。 微软客户端同样容易受到攻击。 KRACK 的最高优先事项应该是您的员工。

相关 F5 解决方案

对于 F5 客户，有两种针对 KRACK 和 ROCA 的相关安全解决方案。 第一种是通过 F5 的 BIG-IP 本地流量管理器 (LTM)，这是执行 SSL/TLS 解密和负载平衡的主要模块。 LTM 密钥通常不易受到 ROCA 攻击（除非它们是在其他地方生成并导入到 LTM；请参阅下面的测试信息）。

LTM 可以强制执行 HTTP 严格传输安全 (HSTS)，它将指示所有浏览器在连接到您的应用时始终使用 SSL/TLS。 这是一个复选框。 检查一下。 仅 HSTS 就能够减轻 KRACK 的最坏影响。

• LTM 数据表
• HTTP 严格传输安全

第二个更分层的防御是 BIG-IP 访问策略管理器 (APM) 及其相关端点产品 BIG-IP Edge Client。 它们共同创建了一个安全的 SSL/TLS VPN，该 VPN 具有端点保护和复杂的策略引擎，以确保您的员工安全地连接到公司资源。 它支持所有流行平台 - Android、Windows、iOS 和 MacOS。 APM 还具有联合功能，因此您可以免费获得 SSO。

• APM 数据表
• 边缘客户端数据表

某些高安全性环境中的用户可能拥有 F5 产品 WebSafe 和 MobileSafe。 WebSafe 确保服务器前的交易安全。 后者是一个移动工具包 API，用于创建连接到前者的更安全的应用。 这两者可以提供的最相关的保护是应用层加密 (ALE)。 ALE 使用临时 RSA 密钥在用户密码通过网络发送之前对其进行非对称加密。 MobileSafe 还提供 DNS 欺骗保护功能，这有助于阻止 KRACK 提供的中间人攻击。

• WebSafe 数据表
• MobileSafe 数据表

你的万圣节待办事项清单

除了挑选万圣节服装（建议：今年可能适合 Kraken）之外，你还需要将一些物品添加到 KRACK 和 ROCA 的 TODO 列表中。

• 加倍努力您的 SSL/VPN 解决方案。 如果您当前的身份验证器没有多重身份验证 (MFA)，请将其替换为具有该功能的身份验证器。 MFA 将阻止攻击者使用通过 KRACK 泄露的凭证访问公司服务。
• 在 F5 本地流量管理器上启用 HTTP 严格传输安全以对抗 sslstrip 工具。 如果您的网络团队支持该功能（很有可能），请向他们开具一张票据。
• 对于 WebSafe 客户，请为关键 Web 应用程序中的敏感字段启用application层加密。
• 对于 MobileSafe 客户，实施 DNS 欺骗检测和证书验证。
• 审核您组织的证书是否存在 ROCA 漏洞。 如果有必要，请引入 Venafi 或其他 SSL 证书扫描仪。
• 检查证书透明度项目的数据库（ crt.sh ）中是否有为您的组织颁发的证书。
• 将操作系统补丁推送到员工的笔记本电脑和手机。
• 使用户密码过期。 假设他们的密码可能已经被泄露，尤其是对于 Android 用户或任何调用“ActiveSync”协议的用户。

我们的威胁情报网站F5 Labs和我们的开发者社区DevCentral将继续关注这些主题，并将在适用时提供更多材料。 如果您对这两个漏洞或我们上面讨论的任何解决方案有任何疑问，请随时联系 F5 代表。

相关说明中，F5 的 DevCentral 团队发布了一段视频，进一步解释了 KRACK 漏洞，以下 F5 Labs 帖子中还有其他评论： 新的威胁可能会通过 BYOD 政策中的 KRACK 溜走