在发布了一个可以利用老的安全漏洞的软件工具之后,思科系统公司无线局域网产品再次受到了攻击的威胁。但是,思科表示,它有一个修复这个安全漏洞的新的协议。
本周初,思科承认以前发现的在其LEAP(轻量级扩展身份验证协议)协议中的安全漏洞能够让黑客进行字典式攻击,猜测用于接入无线局域网的普通口令。思科建议用户使用一种名为“EAP-FAST”(扩展身份验证协议-通过安全隧道技术的灵活身份验证)的新的安全协议。这个协议据说可以减少这种威胁。
据向思科报告这个安全漏洞的安全专家Joshua Wright称,字典式攻击是通过运行一个包括大量词汇的文件直到找出匹配的口令。这种攻击可以威胁到各种形式的口令控制。但是,LEAP协议中的问题能够让黑客减少对比口令的数量,使字典式攻击的速度更快和更容易。而且LEAP协议允许黑客离线猜测口令,给予了黑客更充裕的时间去寻找可匹配的口令。
去年8月,为SANS研究所网络安全小组工作的Wright发现了LEAP安全漏洞并且开发了一种名为ASLEAP的工具来利用这个安全漏洞。在与思科取得联系之后,Wright同意在思科研制出替代的身份识别协议并且通知用户有关LEAP协议的风险之后再公布这个工具。
今年2月,思科向国际电气电子工程师学会呈报EAP-FAST协议,这个协议解决了LEAP协议中的部分问题。与LEAP协议不同,这个新的协议不允许黑客使用大量的词汇去匹配口令,也不允许离线猜测口令。这就意味着黑客必须在线猜测口令并且如果几次猜测错误的话就会被关闭在网络之外。
Wright警告说,虽然EAP-FAST协议对于LEAP协议来说是一个改善,但是并没有完全消除字典式攻击的危险。同任何口令保护的安全机制一样,EAP-FAST协议仍然会受到字典式攻击。
思科在声明中表示,思科了解这种利用无线局域网口令保护安全机制中已知的安全漏洞实施字典式攻击的方法。思科建议用户重新考虑自己的安全政策和规定以及以前发布的最佳安全做法,采用更严密的口令使其系统避免遭受这类攻击。同时,思科还建议用户把LEAP协议改为EAP-FAST协议,以防止字典式攻击。
LEAP协议的安全漏洞并不是思科无线局域网设备用户需要对付的唯一的安全问题。上个星期,思科通知用户称该公司的WirelessLAN Solution Engine (无线局域网解决方案引擎) 和 Hosting Solution Engine (主机解决方案引擎)产品中预先设置的用户名和口令代码能够让黑客完全控制无线局域网管理设备。思科已经为这两种产品发布了软件补丁。