IKEv1およびIKEv2に脆弱性 - JVN

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は2月29日、「Japan Vulnerability Notes(JVN)」に掲載した記事「JVNVU#91475438: Internet Key Exchange (IKEv1, IKEv2) が DoS 攻撃の踏み台として使用される問題」において、Internet Key Exchange version 1およびInternet Key Exchange version 2、またはUDPをベースにした他のプロトコルにサービス運用妨害の踏み台として利用される危険性があると伝えた。

今回発表された脆弱性の詳細は「CWE-406: Insufficient Control of Network Message Volume (Network Amplification)」にまとまっている。研究者の報告によれば、増幅率が500%から900%に到達したInternet Key Exchange version 2サーバも観測されているとされており注意が必要。

本稿執筆時点で、この問題に対する完全な対策方法は公開されていない。リスクを低減する方法として、Internet Key Exchangeサーバのレスポンスの再送制限を行うこと、ファイアウォールでパケットフィルタリングを実施することなどが記載されている。今後、この脆弱性を抱えているプロダクトが増える可能性があり注意が必要。