特定のIKEパケットの受信によりIPsecインタフェースでの通信ができなくなる脆弱性

遠隔の第三者からサービス運用妨害(DoS)攻撃を受ける可能性があります。

報告日

2017/09/11

該当状況

次の機種およびバージョンが影響を受けます。

MODEL Module Version
SA-W1 1.60 - 3.52
SA-W2 2.00 - 3.52

SA-Wシリーズへの影響内容

次の条件にすべて一致する場合に、特定のIKEパケットの受信によりIPsecインタフェースでの通信ができなくなる可能性があります。

  • フロートリンクによるIPsec-VPNを構築している

  • NATによるリモートアドレス書き換えの検知を有効化している

コンフィグに下記のパラメータが設定されている場合は、上記の利用方法に該当します。

  • interface.ipsec[0-63].floatlink.dynamic-remote-address : enable

条件に該当するとき、次のいずれかのIKE(ISAKMP)パケットを受信すると、一部のIPsecインタフェースが通信不能になる場合があります。

  • Cookieが未知かつ、exchange typeがQuickのパケット

  • Commit Bitが1かつ、メッセージIDが0のパケット

時間経過によってIKE Phase2の再折衝が行われると復旧します。また、次のコマンドでセッションをクリアすることで再折衝による復旧が期待できます。

  • clear ipsec interface ipsec[0-63]

SA-Wシリーズにおける対応

本脆弱性を修正したモジュールをリリースしました。

下記のバージョン以降のモジュールへの早急な変更を推奨します。

MODEL Module Version
SA-W1 3.53
SA-W2 3.53

設定による回避策

なし