【活用ガイド】

JVNDB-2016-001529

Internet Key Exchange (IKEv1, IKEv2) が DoS 攻撃の踏み台として使用される問題

概要

Internet Key Exchange version 1 および 2 (IKEv1, IKEv2) には、DoS 攻撃の踏み台として使用される問題が存在します。

ネットワーク転送量の不十分な制限 (通信量の増幅) (CWE-406)
IKE/IKEv2 や、UDP を基にした他のプロトコルは、転送量の増幅によるサービス運用妨害 (DoS) 攻撃の踏み台となる可能性があります。研究者の調査では、増幅率が 500% から 900% になった IKEv2 サーバも幾つかあったとのことです。

CWE-406: Insufficient Control of Network Message Volume (Network Amplification)
http://cwe.mitre.org/data/definitions/406.html

詳細は、研究者のホワイトペーパーを参照してください。

White Paper_IKE_IKEv2 - ripe for DDoS abuse
http://community.akamai.com/docs/DOC-5289
CVSS による深刻度 (CVSS とは?)

基本値: 7.8 (危険) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): なし
  • 完全性への影響(I): なし
  • 可用性への影響(A): 全面的

影響を受けるシステム

Internet Key Exchange version 1 および 2 (IKEv1, IKEv2) を使用する製品が、本脆弱性の影響を受ける可能性があります。

(複数のベンダ)
  • (複数の製品)
日本電気
  • IX1000シリーズ 全バージョン
  • IX2000シリーズ 全バージョン
  • IX3000シリーズ 全バージョン

本脆弱性の影響を受ける日本電気製品の詳細については、ベンダ情報 NV16-012 をご確認ください。
想定される影響

遠隔の攻撃者によって、IKE/IKEv2 サーバが DDoS 攻撃に加担させられる可能性があります。
対策

2016年2月29日現在、完全な対策方法は不明です。

研究者によると DDOS 攻撃の踏み台にされないようにするには、IKE サーバのレスポンスの再送制限を行うことと、ルータやファイアウォールによるパケットフィルタリングについて言及されています。詳細は、研究者のホワイトペーパーを参照してください。

White Paper_IKE_IKEv2 - ripe for DDoS abuse
http://community.akamai.com/docs/DOC-5289
ベンダ情報

アライドテレシス インターネットイニシアティブ バッファロー ヤマハ 古河電気工業 日本電気
  • NEC製品セキュリティ情報 : NV16-012
CWEによる脆弱性タイプ一覧  CWEとは?

  1. その他(CWE-Other) [IPA評価]
共通脆弱性識別子(CVE)  CVEとは?

参考情報

  1. JVN : JVNVU#91475438
  2. 関連文書 : IETF RFC7296
  3. 関連文書 : The Akamai Blog - IKE/IKEv2 Ripe for DDoS Abuse
  4. 関連文書 : Akamai Community - IKE/IKEv2: ripe for DDoS abuse
  5. 関連文書 : Protecting Internet Key Exchange (IKE) Implementations from Distributed Denial of Service Attacks
  6. 関連文書 : Internet Key Exchange (IKEv1, IKEv2) がDoS攻撃の踏み台として使用される問題について(お知らせ)
更新履歴

[2015年03月01日]
  掲載
[2016年03月02日]
  ベンダ情報:ヤマハ (「IKE/IKEv2プロトコルがDOS攻撃に悪用される脆弱性」について) を追加
  ベンダ情報:古河電気工業 (IKEv1/IKEv2 を利用した分散型サービス妨害攻撃(DDoS)の脆弱性) を追加
[2016年03月09日]
  ベンダ情報:インターネットイニシアティブ (IKEのパケット再送処理を利用することで、転送量を増幅しDoS攻撃の踏み台として利用される脆弱性について) を追加
[2016年03月10日]
  参考情報:関連文書 (Internet Key Exchange (IKEv1, IKEv2) がDoS攻撃の踏み台として使用される問題について(お知らせ)) を追加
[2016年03月18日]
  ベンダ情報:アライドテレシス (アライドテレシス株式会社からの情報) を追加
[2016年06月23日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日本電気 (NV16-012) を追加
  ベンダ情報:バッファロー (Internet Key Exchange (IKEv1, IKEv2) が DoS 攻撃の踏み台として使用される問題) を追加