IKEのパケット再送処理を利用することで、転送量を増幅しDoS攻撃の踏み台として利用される脆弱性について

JVNVU#91475438の報告において、攻撃者がIKEv1のパケット再送動作を利用することで転送量を増幅する問題が指摘されています。

報告日

2016/04/14

該当状況

次の機種およびバージョンが影響を受けます。

MODEL Module Version
SA-W1 1.00 - 2.20
SA-W2 2.11 - 2.20

SA-Wシリーズへの影響内容

JVNVU#91475438の報告において、攻撃者がIKEv1のパケット再送動作を利用することで転送量を増幅する問題が指摘されています。

本機に搭載しているIKEv1機能についてもプロトコル仕様に従いパケットの再送を行うため、この問題の影響をうけます。攻撃者は事前共有鍵を知っている必要はありません。

ただし、本脆弱性によって攻撃者がIPsec/IKEで保護された通信を解読することはできず、情報漏洩は発生しません。

SA-Wシリーズにおける対応

本脆弱性を修正したモジュールをリリースしました。

下記のバージョン以降のモジュールへの早急な変更を推奨します。

MODEL Module Version
SA-W1 2.21
SA-W2 2.21

設定による回避策

なし

関連情報