公開日:2016/02/29 最終更新日:2016/08/23

JVNVU#91475438
Internet Key Exchange (IKEv1, IKEv2) が DoS 攻撃の踏み台として使用される問題

概要

Internet Key Exchange version 1 および 2 (IKEv1, IKEv2) には、DoS 攻撃の踏み台として使用される問題が存在します。

影響を受けるシステム

  • Internet Key Exchange version 1 および 2 (IKEv1, IKEv2)

詳細情報

ネットワーク転送量の不十分な制限 (通信量の増幅) (CWE-406)
IKE/IKEv2 や、UDP を基にした他のプロトコルは、転送量の増幅によるサービス運用妨害 (DoS) 攻撃の踏み台となる可能性があります。研究者の調査では、増幅率が 500% から 900% になった IKEv2 サーバも幾つかあったとのことです。

詳細は、研究者のホワイトペーパーを参照してください。

想定される影響

遠隔の攻撃者によって、IKE/IKEv2 サーバが DDoS 攻撃に加担させられる可能性があります。

対策方法

2016年2月29日現在、完全な対策方法は不明です。

研究者は、DDoS 攻撃の踏み台にされないための回避策として、IKE サーバのレスポンスの再送制限と、ルータやファイアウォールによるパケットフィルタリングについて言及しています。詳細は、研究者のホワイトペーパーを参照してください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
NTT-CERT 該当製品無し 2016/08/23
アライドテレシス株式会社 該当製品あり 2016/03/17
ジェイティ エンジニアリング株式会社 該当製品無し 2016/02/29
ビー・ユー・ジーDMG森精機株式会社 該当製品あり 2016/03/08 ビー・ユー・ジーDMG森精機株式会社 の告知ページ
ヤマハ株式会社 該当製品あり 2016/03/01 ヤマハ株式会社 の告知ページ
古河電気工業株式会社 該当製品あり 2016/03/01
日本電気株式会社 該当製品あり 2016/06/20
株式会社インターネットイニシアティブ 該当製品あり 2016/03/08 株式会社インターネットイニシアティブ の告知ページ
株式会社バッファロー 該当製品あり(調査中) 2016/06/21 株式会社バッファロー の告知ページ
横河メータ&インスツルメンツ株式会社 該当製品無し 2016/02/29

参考情報

  1. Akamai Community
    IKE/IKEv2: ripe for DDoS abuse
  2. The Akamai Blog
    IKE/IKEv2 Ripe for DDoS Abuse
  3. IETF RFC7296
    Internet Key Exchange Protocol Version 2 (IKEv2)
  4. IETF Internet-Draft draft-ietf-ipsecme-ddos-protection-03
    Protecting Internet Key Exchange (IKE) Implementations from Distributed Denial of Service Attacks

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
基本値: 8.6
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:N/AC:L/Au:N/C:N/I:N/A:C
基本値: 7.8
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2016/03/01
ヤマハ株式会社、古河電気工業株式会社のベンダステータスが更新されました
2016/03/01
古河電気工業株式会社のベンダステータスが更新されました
2016/03/08
株式会社インターネットイニシアティブのベンダステータスが更新されました
2016/03/08
株式会社インターネットイニシアティブのベンダステータスが更新されました
2016/03/09
ビー・ユー・ジーDMG森精機株式会社のベンダステータスが更新されました
2016/03/15
日本電気株式会社のベンダステータスが更新されました
2016/03/17
アライドテレシス株式会社のベンダステータスが更新されました
2016/06/02
株式会社バッファローのベンダステータスが更新されました
2016/06/20
日本電気株式会社のベンダステータスが更新されました
2016/06/21
日本電気株式会社、株式会社バッファローのベンダステータスが更新されました
2016/06/21
株式会社バッファローのベンダステータスが更新されました
2016/08/23
NTT-CERTのベンダステータスが更新されました