NSA-Tool Pixpocket soll VPN-Schlüssel extrahieren können
Ein Sicherheitsforscher hat ein Hacking-Tool aus dem geleakten NSA-Fundus analysiert und zeigt auf, dass die NSA unter anderem VPN-Verbindungen von Cisco PIX-Geräten hätte ausspähen können.
Mit dem Tool Benigncertain soll die NSA in der Lage gewesen sein, Daten wie private RSA-Schlüssel von Ciscos PIX-Serie abzuziehen. Dabei handele es sich dem Sicherheitsforscher Mustafa Al-Bassam zufolge um einen Exploit, mit dem Angreifer die PIX-Versionen 5.2(9) bis 6.3(4) aus der Ferne attackieren können. Er nennt das Tool Pixpocket.
Die davon bedrohte PIX-Serie wurde 2004 veröffentlicht. Die Reihe wurde 2008 eingestellt. Ob Cisco dennoch an Sicherheits-Patches arbeitet, ist derzeit nicht bekannt. Wer derartige Geräte einsetzt, ist unter Umständen gefährdet. Ob derartige Angriffe jemals passiert sind, ist nicht bekannt.
Ähnlichkeiten mit Heartbleed-Exploit
Um etwa einen privaten Schlüssel auszulesen, verschickt der Exploit ein Internet Key-Exchange-Paket (IKE) von willkürlicher Größe. Das bringe ein verwundbares Gerät Al-Bassam zufolge dazu, einen Teil seines Speichers preiszugeben (buffer over-read). Daraus lassen sich anschließend mitunter private Schlüssel und VPN-Konfigurationen auslesen.
Der Übergriff ähnelt dem Heartbleed-Exploit. Dabei verschickt ein Angreifer eine Payload mit einem Byte Größe an einen Server und behauptet, sie sei beispielsweise 16 KByte groß. Aufgrund eines fehlenden Checks der Größe schickt der Server als Antwort die vollen 16 KByte zurück (memory dump); in diesen zusätzlichen Daten können mitunter Passwörter enthalten sein.
Eine Hacker-Gruppe namens Shadow Brokers hat von der sogenannten Equation Group Hacker-Tools abgezogen und veröffentlicht. Neben Aussagen von mehreren Sicherheitsforschern legen auch Auszüge aus den Snowden-Dokumenten die Echtheit der Tools nahe. Diese Hinweise nähren auch die Vermutung, dass die NSA hinter der Equation Group steckt.
Quelle: http://heise.de/-3302235
Suche
Kategorien
- Brexit: IT-Branche bedauert Austritt der Briten aus der EU Freitag, 24. Juni 2016
- Google veröffentlicht Riesen-Patch-Paket für Android Freitag, 20. Januar 2017
- AVM entweicht geheimer FritzBox-Schlüssel Sonntag, 13. November 2016
- Erpressungs-Trojaner: Neue Locky-Welle infiziert Computer Freitag, 24. Juni 2016
- Upgrade auf Windows 10: Drückermethode wird noch aggressiver Dienstag, 31. Mai 2016
- Ho Ho Ho! Frohes Fest Freitag, 24. Dezember 2021
- Warnstufe Rot: Log4j-Zero-Day-Lücke bedroht Heimanwender und Firmen Montag, 13. Dezember 2021
- Bericht: Android-Trojaner GriftHorse kassiert bei über 10 Millionen Opfern ab Samstag, 2. Oktober 2021
- Achtung, dringender Handlungsbedarf: Ist Ihre UTM Firmware auf dem neuesten Stand? Dienstag, 21. September 2021
- Jetzt patchen! Kritische Lücke bedroht WordPress 3.7 bis 5.7 Mittwoch, 19. Mai 2021
- Fahed Fatnassi: Das Gerät vereint einen leistungsst... Dienstag, 23. August 2016
- Ralf Küpper: geiles Bild aber die Speaker sind s... Dienstag, 23. August 2016
- Detlef: Professionelle Beratung. Man nahm s... Dienstag, 23. August 2016
- netzwerkstudio: Hochwertig verarbeitet, modular und... Dienstag, 23. August 2016
- netzwerkstudio: Hervorragende Verarbeitung, sehr mo... Dienstag, 23. August 2016