Когда говорят «VPN-протокол», обычно представляют нечто современное: WireGuard, Reality, Hysteria. Но есть старички, которые до сих пор держат корпоративный мир за горло. Один из них — IKEv1 (Internet Key Exchange version 1), часть протокола IPsec. Он появился в конце 90-х, и если бы у протоколов были пенсии, IKEv1 уже давно должен был бы получать выплаты по старости. Однако его продолжают использовать в enterprise-роутерах, Check Point, Cisco, Palo Alto — и это становится проблемой.
Суть уязвимости, о которой вновь заговорили, проста до безобразия: в IKEv1 есть режим агрессивной аутентификации (Aggressive Mode). В нём хэш пароля передаётся в открытом виде (внутри защищённого канала, но с известным алгоритмом). Если злоумышленник перехватывает такой обмен — а это несложно, если он сидит на пути трафика, — он получает достаточно данных для офлайн-подбора пароля. Дальше — дело техники: словарная атака, брутфорс, и готово. В результате атакующий может подключиться к корпоративной сети как легитимный пользователь, минуя многофакторную аутентификацию, потому что её в IKEv1 часто просто нет.
Ключевая проблема не в том, что IKEv1 «взломали» вчера. Эта дыра известна минимум 10 лет. Проблема в том, что производители (включая Check Point) по умолчанию включают Aggressive Mode для совместимости со старыми клиентами. Администраторы не отключают, потому что «работает же». И вот результат: CVE с высоким CVSS, эксплуатация в реальных атаках, спешные патчи.
Сильные стороны IKEv1: он везде, он стандартизирован, он работает на любом железе 20-летней давности. Слабые: устаревшая криптография, сложность конфигурации, отсутствие встроенной защиты от офлайн-атак на пароль. Современные альтернативы — IKEv2 (более безопасный, обязательная аутентификация через EAP или сертификаты) или WireGuard (который вообще не использует пароли, только асимметричные ключи).
Вывод: если вы до сих пор используете IKEv1 с Aggressive Mode — вы играете в русскую рулетку с одним патроном. Обновляйтесь до IKEv2 или переходите на что-то современное. И не говорите, что вас не предупреждали.
