মধ্যম
রুহর-ইউনিভার্সিটিট বোচুমের গবেষক: ডেনিস ফেলসচ, মার্টিন গ্রোথ, এবং জর্গ শ্বেঙ্ক এবং ওপোল বিশ্ববিদ্যালয়ের গবেষকরা: অ্যাডাম সিজুবাক এবং মার্সিন সিজম্যানেক দুর্বল আইপিএসেক আইকেই বাস্তবায়নের উপর একটি সম্ভাব্য ক্রিপ্টোগ্রাফিক আক্রমণ আবিষ্কার করেছিলেন যেমন সিস্কো, হুয়াওয়ে, জাইএক্সেল এবং ক্লাভিস্টার। গবেষকরা তাদের গবেষণার উপর একটি গবেষণাপত্র প্রকাশ করেছেন এবং বাল্টিমোরের ইউএসএনআইএক্স সুরক্ষা সিম্পোজিয়ামে এই সপ্তাহের কিছু সময় আক্রমণটির ধারণার একটি প্রমাণ উপস্থাপন করার কথা রয়েছে।
গবেষণা অনুসারে প্রকাশিত , বিভিন্ন সংস্করণ এবং আইকেই বাস্তবায়নের মোডগুলিতে একই কী জুড়িটি ব্যবহার করে 'আক্রমণকারীদের দ্বারা ক্ষতিগ্রস্থ হোস্ট বা নেটওয়ার্কের ছদ্মবেশকে সক্ষম করে, ক্রস-প্রোটোকল প্রমাণীকরণ বাইপাসে নিয়ে যেতে পারে” ' গবেষকরা ব্যাখ্যা করেছিলেন যে এটি যেভাবে কাজ করে তা “আমরা একটি IKEv1 মোডে একটি ব্লিচেনব্যাকার ওরাকল ব্যবহার করি, যেখানে আরএসএ এনক্রিপ্টড ননেসগুলি প্রমাণীকরণের জন্য ব্যবহৃত হয়। এই শোষণটি ব্যবহার করে, আমরা এই আরএসএ এনক্রিপশন ভিত্তিক মোডগুলি ভাঙ্গি, এবং উপরন্তু IKEv1 এবং IKEv2 উভয়তেই আরএসএ স্বাক্ষর ভিত্তিক প্রমাণীকরণ ভাঙ্গি। অতিরিক্তভাবে, আমরা পিএসকে (প্রাক-ভাগযুক্ত কী) ভিত্তিক আইকেই মোডগুলির বিরুদ্ধে একটি অফলাইন অভিধান আক্রমণ বর্ণনা করি, সুতরাং এইভাবে আইকেইয়ের সমস্ত উপলব্ধ প্রমাণীকরণ প্রক্রিয়া coveringেকে যায়। '
দেখে মনে হচ্ছে দুর্বলতা বিক্রেতাদের ডিভাইসে ডিক্রিপশন ব্যর্থতা থেকে আসে। এই ব্যর্থতাগুলি IKEv1 ডিভাইসে আরএসএ-এনক্রিপ্ট হওয়া নাকের সাহায্যে ইচ্ছাকৃত সিফেরটেক্সটগুলি জানাতে ব্যবহার করা যেতে পারে। আক্রমণকারী যদি এই আক্রমণ চালাতে সফল হয়, তবে সে এনক্রিপ্ট হওয়া ন্যাক্সগুলি অ্যাক্সেস করতে পারে।
এই দুর্বলতার সংবেদনশীলতা এবং ঝুঁকিতে থাকা নেটওয়ার্কিং সংস্থাগুলি সংবেদনশীলতার কারণে, বেশ কয়েকটি নেটওয়ার্কিং সংস্থা এই সমস্যাটির চিকিত্সার জন্য প্যাচ প্রকাশ করেছে বা তাদের পণ্যগুলি থেকে ঝুঁকিপূর্ণ প্রমাণীকরণ প্রক্রিয়া পুরোপুরি সরিয়ে দিয়েছে। ক্ষতিগ্রস্থ পণ্যগুলি হ'ল সিসকোর আইওএস এবং আইওএস এক্সই সফ্টওয়্যার, জাইএক্সেলের জাইওয়াল / ইউএসজি পণ্য এবং ক্লাভিস্টার এবং হুয়াওয়ের ফায়ারওয়াল। এই সমস্ত প্রযুক্তি সংস্থাগুলি তাদের পণ্যগুলিতে সরাসরি ডাউনলোড এবং ইনস্টল করার জন্য সংশ্লিষ্ট ফার্মওয়্যার আপডেটগুলি প্রকাশ করেছে।
