在發(fā)布了一個(gè)可以利用老的安全漏洞的軟件工具之后，思科系統(tǒng)公司無線局域網(wǎng)產(chǎn)品再次受到了攻擊的威脅。但是，思科表示，它有一個(gè)修復(fù)這個(gè)安全漏洞的新的協(xié)議。

本周初，思科承認(rèn)以前發(fā)現(xiàn)的在其LEAP（輕量級擴(kuò)展身份驗(yàn)證協(xié)議）協(xié)議中的安全漏洞能夠讓黑客進(jìn)行字典式攻擊，猜測用于接入無線局域網(wǎng)的普通口令。思科建議用戶使用一種名為“EAP-FAST”（擴(kuò)展身份驗(yàn)證協(xié)議-通過安全隧道技術(shù)的靈活身份驗(yàn)證）的新的安全協(xié)議。這個(gè)協(xié)議據(jù)說可以減少這種威脅。

據(jù)向思科報(bào)告這個(gè)安全漏洞的安全專家Joshua Wright稱，字典式攻擊是通過運(yùn)行一個(gè)包括大量詞匯的文件直到找出匹配的口令。這種攻擊可以威脅到各種形式的口令控制。但是，LEAP協(xié)議中的問題能夠讓黑客減少對比口令的數(shù)量，使字典式攻擊的速度更快和更容易。而且LEAP協(xié)議允許黑客離線猜測口令，給予了黑客更充裕的時(shí)間去尋找可匹配的口令。

去年8月，為SANS研究所網(wǎng)絡(luò)安全小組工作的Wright發(fā)現(xiàn)了LEAP安全漏洞并且開發(fā)了一種名為ASLEAP的工具來利用這個(gè)安全漏洞。在與思科取得聯(lián)系之后，Wright同意在思科研制出替代的身份識別協(xié)議并且通知用戶有關(guān)LEAP協(xié)議的風(fēng)險(xiǎn)之后再公布這個(gè)工具。

今年2月，思科向國際電氣電子工程師學(xué)會呈報(bào)EAP-FAST協(xié)議，這個(gè)協(xié)議解決了LEAP協(xié)議中的部分問題。與LEAP協(xié)議不同，這個(gè)新的協(xié)議不允許黑客使用大量的詞匯去匹配口令，也不允許離線猜測口令。這就意味著黑客必須在線猜測口令并且如果幾次猜測錯(cuò)誤的話就會被關(guān)閉在網(wǎng)絡(luò)之外。

Wright警告說，雖然EAP-FAST協(xié)議對于LEAP協(xié)議來說是一個(gè)改善，但是并沒有完全消除字典式攻擊的危險(xiǎn)。同任何口令保護(hù)的安全機(jī)制一樣，EAP-FAST協(xié)議仍然會受到字典式攻擊。

思科在聲明中表示，思科了解這種利用無線局域網(wǎng)口令保護(hù)安全機(jī)制中已知的安全漏洞實(shí)施字典式攻擊的方法。思科建議用戶重新考慮自己的安全政策和規(guī)定以及以前發(fā)布的最佳安全做法，采用更嚴(yán)密的口令使其系統(tǒng)避免遭受這類攻擊。同時(shí)，思科還建議用戶把LEAP協(xié)議改為EAP-FAST協(xié)議，以防止字典式攻擊。

LEAP協(xié)議的安全漏洞并不是思科無線局域網(wǎng)設(shè)備用戶需要對付的唯一的安全問題。上個(gè)星期，思科通知用戶稱該公司的WirelessLAN Solution Engine (無線局域網(wǎng)解決方案引擎) 和 Hosting Solution Engine (主機(jī)解決方案引擎)產(chǎn)品中預(yù)先設(shè)置的用戶名和口令代碼能夠讓黑客完全控制無線局域網(wǎng)管理設(shè)備。思科已經(jīng)為這兩種產(chǎn)品發(fā)布了軟件補(bǔ)丁。

標(biāo)簽： ssl 安全 代碼 漏洞 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。