セキュリティ組織の英NISCCなどは現地時間11月14日,IPsec通信などで使われるプロトコル「ISAKMP」の実装に複数の脆弱性(セキュリティ・ホール)が見つかったことを明らかにした。IPsecをサポートするソフトウエア/ハードウエア製品が影響を受ける可能性がある。細工が施されたデータを送信されると,製品を再起動されたり,任意のプログラムを実行されたりする可能性がある。対策はパッチの適用など。影響度や対策方法は製品によって異なるので,各ベンダーが公開する情報を参照してほしい。
今回の脆弱性は,ISAKMP(Internet Security Association and Key Management Protocol)の実装に関するもの。ISAKMPは,IPsec(IP Security Protocol)などの他のセキュリティ・プロトコルにおいてSA(Security Association)を生成したりネゴシエーションしたりするために用いられるプロトコル。SAとは,暗号通信の際に利用する暗号/認証アルゴリズムや鍵情報のこと。
ISAKMPは2つのフェーズで2つのSAを生成する。フェーズ1では,鍵交換方式および鍵交換に用いる暗号/認証方式をネゴシエーションし,フェーズ2で送信データに関する暗号/認証方式をネゴシエーションする。ISAKMPではフェーズ1における鍵交換方式を具体的には規定しておらず,さまざまな方式を使えるようにしている。一般的には,IKEv1(Internet Key Exchange version 1)が使われる。
今回の脆弱性は,ISAKMPのフェーズ1においてIKEv1を用いる場合に発現する。IKEv1を用いる設定にしているシステムに対して,フェーズ1のネゴシエーションの際に細工が施されたパケットを送信されると,適切に処理できずにDoS(サービス妨害)攻撃を許したり,任意のプログラムを実行されたりする可能性がある。
脆弱性を発見したのはフィンランドOulu大学のOulu University Secure Programming Group(OUSPG)。同グループはSNMPをはじめとする他のプロトコルの実装の脆弱性も過去に複数発見している。なお,IKEv2が影響を受けるかどうかは,OUSPGではテストしていないという。
今回の脆弱性はプロトコルの実装に関するものであり,複数ベンダー(例えば,米Cisco Systems)のルーターやファイアウオールといったネットワーク機器,「Openswan-2」といったソフトウエア製品が影響を受けることが確認されている。IPsecをサポートしていて,IKEを利用する設定にしている製品は影響を受ける可能性があると考えたほうがよい。IPsecをサポートする製品を利用している場合には,現在利用している製品が影響を受けるかどうか,ベンダーのWebサイトなどで確認したい。
また,対策方法や影響度は製品によって異なるので,それらについてもベンダーの情報を参照すること。国内で入手可能な製品については,「JP Vendor Status Notes(JVN)」のサイトで各ベンダーの対応状況や情報へのリンクを公開しているので参考にしたい。なお,同サイトの情報は絶えず更新されるので,最新の情報を参照すること。
すべての製品に共通した緩和策としては,(1)信頼できるIPアドレスからのみISAKMPの通信を受信するようにパケット・フィルタリングを施す,(2)フェーズ1では「アグレッシブ・モード」を使わない---ことをNISCCでは挙げている。
◎参考資料
◆Multiple Vulnerability Issues in Implementation of ISAKMP Protocol(英NISCC)
◆NISCC-273756 ISAKMP プロトコルの実装に複数の脆弱性(JP Vendor Status Notes)
◆IPSEC / ISAKMP Vulnerability wrapup(米SANS Institute)
◆Cisco Security Advisory: Multiple Vulnerabilities Found by PROTOS IPSec Test Suite(米Cisco Systems)
◆Cisco Security Advisory: Multiple Vulnerabilities Found by PROTOS IPSec Test Suite(日本語情報)
◆Executive Summary: Openswan-2 is vulnerable to a Denial of Service attack as reported by NISCC Vulnerability Advisory 273756/NISCC/ISAKMP(Openswan)
◆ISAKMP実装に関する脆弱性の問題について(古河電気工業)
◆RTシリーズのInternet Security Association Key Management Protocol (ISAKMP) に影響を与える脆弱性について(ヤマハ)
![Word 最速時短術 [増補新版]](https://info.nikkeibp.co.jp/atclnxt/books/25/03/07/00396/B_9784296207329.jpg)
