SA-Wシリーズの脆弱性情報です

特定のIKEパケットの受信によりIPsecインタフェースでの通信ができなくなる脆弱性
影響: あり
報告日: 2017/09/11
概要

特定のIKEパケットの受信によりIPsecインタフェースでの通信ができなくなる脆弱性があります。

これにより遠隔の第三者からサービス運用妨害(DoS)攻撃を受ける可能性があります。

SA-Wシリーズへの影響度

あり

該当機種
MODEL Module Version
SA-W1 1.60 - 3.52
SA-W2 2.00 - 3.52
SA-Wシリーズへの影響内容

次の条件にすべて一致する場合に影響を受けます。

  • フロートリンクによるIPsec-VPNを構築している
  • NATによるリモートアドレス書き換えの検知を有効化している

コンフィグに下記のパラメータが設定されている場合は、上記の利用方法に該当します。

  • interface.ipsec[0-63].floatlink.dynamic-remote-address : enable

条件に該当するとき、次のいずれかのIKE(ISAKMP)パケットを受信すると、一部のIPsecインタフェースが通信不能になる場合があります。

  • Cookieが未知かつ、exchange typeがQuickのパケット
  • Commit Bitが1かつ、メッセージIDが0のパケット

時間経過によってIKE Phase2の再折衝が行われると復旧します。また、次のコマンドでセッションをクリアすることで再折衝による復旧が期待できます。

  • clear ipsec interface ipsec[0-63]
SA-Wシリーズにおける対応

本脆弱性を修正したモジュールをリリースしました。

下記のバージョン以降のモジュールへの早急な変更を推奨します。

MODEL Module Version
SA-W1 3.53
SA-W2 3.53
設定による回避策

なし