公開日: 2018/08/15  最終更新日: 2018/08/28

アライドテレシス株式会社からの情報

脆弱性識別番号:JVNVU#93409761
脆弱性タイトル:IKEv1 のメインモードに総当たり攻撃に対する脆弱性
ステータス:該当製品あり

以下の情報は、製品開発者から JVN に提供されたものです。

下記に記載されている製品が当該脆弱性に該当致します。

1) 対象製品
VPNのIPsec機能をサポートしている下記製品が該当します。
- ルーター
AR550S, AR560, AR570S, AR415S, AR2010V, AR2050V, AR3050S
AR4050S, ARX640S, AR260Sv2
- ソフトウェア
AMF cloud

2) 影響
事前共有鍵に対してオフライン上で辞書攻撃や総当たり攻撃を受ける可能性があります。
この脆弱性は攻撃者がresponderになりすましてinitiatorとIKEv1のネゴシエーションを行える環境で発生します。
攻撃によって事前共有鍵が解析されると、暗号化している通信の内容を盗聴されてしまう危険性があります。


3) 対策
IPsec機能を有効にしていない場合、本脆弱性の影響はありません。
IPsec機能でIKEv1を利用する場合の対策は下記のとおりです。

3-1) RSAデジタル署名方式を利用する
対象: AR550S, AR560S, AR570S
RSAデジタル署名方式をサポートしている製品では、
事前共有鍵方式ではなくRSAデジタル署名方式を利用することで
本脆弱性に該当しない状態でIPsec機能を利用することが可能です。

3-2) 攻撃に対して強度の高い事前共有鍵を使用する
対象: 全製品
強度の高い事前共有鍵を設定することで、辞書攻撃や総当たり攻撃によって
事前共有鍵が解析されるリスクが軽減されます。

設定方法や手順については、対象製品のコマンドリファレンスをご参照下さい。

以上

更新履歴

2018/08/28