JVNVU#91475438: Internet Key Exchange (IKEv1, IKEv2) が DoS 攻撃の踏み台として使用される問題

Internet Key Exchange version 1 および 2 (IKEv1, IKEv2) には、DoS 攻撃の踏み台として使用される問題が存在します。

Internet Key Exchange version 1 および 2 (IKEv1, IKEv2)

ネットワーク転送量の不十分な制限 (通信量の増幅) (CWE-406)
IKE/IKEv2 や、UDP を基にした他のプロトコルは、転送量の増幅によるサービス運用妨害 (DoS) 攻撃の踏み台となる可能性があります。研究者の調査では、増幅率が 500% から 900% になった IKEv2 サーバも幾つかあったとのことです。

詳細は、研究者のホワイトペーパーを参照してください。

遠隔の攻撃者によって、IKE/IKEv2 サーバが DDoS 攻撃に加担させられる可能性があります。

2016年2月29日現在、完全な対策方法は不明です。

研究者は、DDoS 攻撃の踏み台にされないための回避策として、IKE サーバのレスポンスの再送制限と、ルータやファイアウォールによるパケットフィルタリングについて言及しています。詳細は、研究者のホワイトペーパーを参照してください。

ベンダ	ステータス	ステータス最終更新日	ベンダの告知ページ
NTT-CERT	該当製品無し	2016/08/23
アライドテレシス株式会社	該当製品あり	2016/03/17
ジェイティエンジニアリング株式会社	該当製品無し	2016/02/29
ビー・ユー・ジーＤＭＧ森精機株式会社	該当製品あり	2016/03/08	ビー・ユー・ジーＤＭＧ森精機株式会社の告知ページ
ヤマハ株式会社	該当製品あり	2016/03/01	ヤマハ株式会社の告知ページ
古河電気工業株式会社	該当製品あり	2016/03/01
日本電気株式会社	該当製品あり	2016/06/20
株式会社インターネットイニシアティブ	該当製品あり	2016/03/08	株式会社インターネットイニシアティブの告知ページ
株式会社バッファロー	該当製品あり（調査中）	2016/06/21	株式会社バッファローの告知ページ
横河メータ＆インスツルメンツ株式会社	該当製品無し	2016/02/29

Akamai Community
IKE/IKEv2: ripe for DDoS abuse
The Akamai Blog
IKE/IKEv2 Ripe for DDoS Abuse
IETF RFC7296
Internet Key Exchange Protocol Version 2 (IKEv2)
IETF Internet-Draft draft-ietf-ipsecme-ddos-protection-03
Protecting Internet Key Exchange (IKE) Implementations from Distributed Denial of Service Attacks

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H

基本値: 8.6

攻撃元区分(AV)	物理 (P)	ローカル (L)	隣接 (A)	ネットワーク (N)
攻撃条件の複雑さ(AC)	高 (H)	低 (L)
必要な特権レベル(PR)	高 (H)	低 (L)	不要 (N)
ユーザ関与レベル(UI)	要 (R)	不要 (N)
スコープ(S)	変更なし (U)	変更あり (C)
機密性への影響(C)	なし (N)	低 (L)	高 (H)
完全性への影響(I)	なし (N)	低 (L)	高 (H)
可用性への影響(A)	なし (N)	低 (L)	高 (H)

CVSS v2 AV:N/AC:L/Au:N/C:N/I:N/A:C

基本値: 7.8

攻撃元区分(AV)	ローカル (L)	隣接 (A)	ネットワーク (N)
攻撃条件の複雑さ(AC)	高 (H)	中 (M)	低 (L)
攻撃前の認証要否(Au)	複数 (M)	単一 (S)	不要 (N)
機密性への影響(C)	なし (N)	部分的 (P)	全面的 (C)
完全性への影響(I)	なし (N)	部分的 (P)	全面的 (C)
可用性への影響(A)	なし (N)	部分的 (P)	全面的 (C)

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

2016/03/01: ヤマハ株式会社、古河電気工業株式会社のベンダステータスが更新されました
2016/03/01: 古河電気工業株式会社のベンダステータスが更新されました
2016/03/08: 株式会社インターネットイニシアティブのベンダステータスが更新されました
2016/03/08: 株式会社インターネットイニシアティブのベンダステータスが更新されました
2016/03/09: ビー・ユー・ジーＤＭＧ森精機株式会社のベンダステータスが更新されました
2016/03/15: 日本電気株式会社のベンダステータスが更新されました
2016/03/17: アライドテレシス株式会社のベンダステータスが更新されました
2016/06/02: 株式会社バッファローのベンダステータスが更新されました
2016/06/20: 日本電気株式会社のベンダステータスが更新されました
2016/06/21: 日本電気株式会社、株式会社バッファローのベンダステータスが更新されました
2016/06/21: 株式会社バッファローのベンダステータスが更新されました
2016/08/23: NTT-CERTのベンダステータスが更新されました

JVNVU#91475438 Internet Key Exchange (IKEv1, IKEv2) が DoS 攻撃の踏み台として使用される問題

JVNVU#91475438
Internet Key Exchange (IKEv1, IKEv2) が DoS 攻撃の踏み台として使用される問題