Internet Key Exchange Protocolバージョン1におけるサービス妨害の脆弱性

複数の製品に、インターネットキーエクスチェンジ(IKE)バージョン1プロトコルの実装の脆弱性が存在します。  IKEは通常、IPSecでのキー交換に使用され、IPSecは通常、VPN接続のデータの暗号化に使用されます。

この脆弱性は、メインモードとアグレッシブモードの両方でIKEフェーズ1ネゴシエーションに影響します。  この脆弱性は、通常のUDPベースのIKEと、シスコ独自のTCPカプセル化IKEに影響を与えます。この脆弱性は、システムに送信される大量のIKE要求の不適切な処理に起因します。  該当するデバイスでは、IKEセッションに対する最初の要求が要求キューがいっぱいになる前に、それらの要求をキューに入れることしかできません。  攻撃者は、この脆弱性を不正利用して、デバイスがキューから期限切れになるよりも早く多数のIKEセッションを開始することで、IKEリソースを枯渇させる可能性があります。  このアクションにより、攻撃者がパケットの送信を停止するまでデバイスはIKE要求を処理できないため、サービス拒否(DoS)状態が発生します。

この脆弱性は確認されていますが、アップデートは提供されていません。

このエラーは認証の前に発生するため、攻撃者がこの脆弱性を不正利用するために有効なクレデンシャルは必要ありません。  この脆弱性の不正利用に使用されるIKEパケットは有効であり、この不正利用に必要なパケットのレートは比較的低いため、IDSおよびIPSシステムは攻撃を検出できない可能性があります。  この攻撃では高い帯域幅は必要ありません。これにより、攻撃者は複数のデバイスをターゲットにすることができます。 ただし、帯域幅を増やすと、IDSまたはIPSによる攻撃の検出が容易になります。  攻撃者は、送信元IPアドレスのスプーフィングをUDP経由で使用して攻撃元を偽装し、進行中の攻撃のブロックをより困難にすることができます。 

この脆弱性は主にインターネットに公開されているVPNアプライアンスに影響を与えるため、脆弱なシステムのIPアドレスにアクセスできるユーザであれば攻撃を仕掛けることができます。  攻撃者は、ポートスキャンと組み合わせてOSフィンガープリントを使用して、脆弱なシステムを検出する可能性があります。

この脆弱性は、さまざまな製品に影響を与える可能性があります。  Cisco IOSソフトウェア、VPN 3000シリーズコンセントレータ、PIXおよびASAセキュリティアプライアンスには脆弱性が存在します。

管理者は、将来のアップデートやリリースについてベンダーに問い合わせることをお勧めします。

ネットワークに脆弱性が存在する可能性のあるアプライアンスまたはシステムがないかどうかを確認することを推奨します。

管理者は、それぞれの状況に固有の回避策についてベンダーに問い合わせることを推奨します。

ACLを使用して、該当するデバイスへのIKEトラフィックを制限することが推奨されます。

管理者は、該当するデバイスがバージョン1ではなくIKEプロトコルバージョン2を使用するように設定できます。

管理者は、攻撃が進行中であることを示す可能性がある大量のIKEパケットを監視するようにIPSまたはIDSシステムを設定することを推奨します。

Cisco IOSをご使用のお客様は、IKEのコールアドミッション制御機能を実装することで、この脆弱性を緩和できます。

個々の製品の緩和戦略に関するシスコの詳細は、次のリンク先で参照できます。Cisco

パッチおよびソフトウェアアップデートは利用できません。

Cisco Product Security Incident Response Team（PSIRT）は、本アドバイザリに記載されている脆弱性の不正利用事例やその公表を確認していません。

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。