公開日:2018/08/15 最終更新日:2018/11/06

JVNVU#93409761
IKEv1 のメインモードに総当たり攻撃に対する脆弱性

概要

Internet Key Exchange v1 のメインモードには、オフラインの辞書攻撃や総当たり攻撃に対する脆弱性が存在します。

影響を受けるシステム

  • Internet Key Exchange (IKE) v1 メインモードで、事前共有鍵 (PSK) 方式を使用している製品

詳細情報

Internet Key Exchange v1 のメインモードには、オフラインの辞書攻撃や総当たり攻撃に対する脆弱性が存在します。(CVE-2018-5389)

IKEv1 PSK のアグレッシブモードに対して、オフラインの辞書攻撃や総当たり攻撃に対する脆弱性が存在することは広く知られていますが、メインモードに対しては、オンラインでの攻撃のみが可能であると考えられていました。
報告者によると、メインモードにおいても中間者攻撃 (man-in-the-middle attack) により取得できる情報から、オフラインの攻撃が可能であるとのことです。

想定される影響

安全性が低い事前共有鍵を使っている場合、事前共有鍵を解読される可能性があります。

対策方法

セキュアなパスワードを使用する
辞書攻撃や総当たり攻撃を受けても解読されにくい、暗号学的に強度の高い事前共有鍵の値を使用してください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
BizMobile株式会社 該当製品無し 2018/08/17
NTT-CERT 該当製品あり 2018/11/01
アライドテレシス株式会社 該当製品あり 2018/08/28
コニカミノルタ株式会社 該当製品無し 2018/10/01
サイボウズ株式会社 該当製品無し 2018/08/15
ジェイティ エンジニアリング株式会社 該当製品無し 2018/08/15
ソースネクスト株式会社 該当製品無し 2018/09/13
ビー・ユー・ジーDMG森精機株式会社 該当製品あり 2018/08/15 ビー・ユー・ジーDMG森精機株式会社 の告知ページ
ヤマハ株式会社 該当製品あり 2018/08/23 ヤマハ株式会社 の告知ページ
住友電気工業株式会社 該当製品無し(調査中) 2018/08/15
古河電気工業株式会社 該当製品あり 2018/08/15
富士通株式会社 該当製品無し(調査中) 2018/08/15
日本電気株式会社 該当製品あり 2018/11/06
株式会社インターネットイニシアティブ 該当製品あり 2018/08/20 株式会社インターネットイニシアティブ の告知ページ
横河計測株式会社 該当製品無し 2018/08/15

参考情報

  1. CERT/CC Vulnerability Note VU#857035
    IKEv1 Main Mode Vulnerable to Brute Force Attacks
  2. On Web-Security and -Insecurity
    Practical Dictionary Attack on IPsec IKE
  3. 27th USENIX SECURITY SYMPOSIUM
    The Dangers of Key Reuse: Practical Attacks on IPsec IKE
  4. Cisco Blogs
    Great Cipher, But Where Did You Get That Key?

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
基本値: 7.4
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:N/AC:M/Au:N/C:C/I:C/A:N
基本値: 8.8
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2018-5389
JVN iPedia

更新履歴

2018/08/20
BizMobile株式会社のベンダステータスが更新されました
2018/08/20
株式会社インターネットイニシアティブのベンダステータスが更新されました
2018/08/22
ヤマハ株式会社のベンダステータスが更新されました
2018/08/22
ヤマハ株式会社のベンダステータスが更新されました
2018/08/22
ヤマハ株式会社のベンダステータスが更新されました
2018/08/23
ヤマハ株式会社のベンダステータスが更新されました
2018/08/28
アライドテレシス株式会社のベンダステータスが更新されました
2018/08/30
NTT-CERTのベンダステータスが更新されました
2018/08/31
NTT-CERTのベンダステータスが更新されました
2018/09/14
ソースネクスト株式会社のベンダステータスが更新されました
2018/10/01
コニカミノルタ株式会社のベンダステータスが更新されました
2018/11/01
NTT-CERTのベンダステータスが更新されました
2018/11/06
日本電気株式会社のベンダステータスが更新されました