| タイトル | Internet Key Exchange (IKEv1, IKEv2) が DoS 攻撃の踏み台として使用される問題 |
|---|---|
| 概要 | Internet Key Exchange version 1 および 2 (IKEv1, IKEv2) には、DoS 攻撃の踏み台として使用される問題が存在します。 ネットワーク転送量の不十分な制限 (通信量の増幅) (CWE-406) IKE/IKEv2 や、UDP を基にした他のプロトコルは、転送量の増幅によるサービス運用妨害 (DoS) 攻撃の踏み台となる可能性があります。研究者の調査では、増幅率が 500% から 900% になった IKEv2 サーバも幾つかあったとのことです。 CWE-406: Insufficient Control of Network Message Volume (Network Amplification) http://cwe.mitre.org/data/definitions/406.html 詳細は、研究者のホワイトペーパーを参照してください。 White Paper_IKE_IKEv2 - ripe for DDoS abuse http://community.akamai.com/docs/DOC-5289 |
| 想定される影響 | 遠隔の攻撃者によって、IKE/IKEv2 サーバが DDoS 攻撃に加担させられる可能性があります。 |
| 対策 | 2016年2月29日現在、完全な対策方法は不明です。 研究者によると DDOS 攻撃の踏み台にされないようにするには、IKE サーバのレスポンスの再送制限を行うことと、ルータやファイアウォールによるパケットフィルタリングについて言及されています。詳細は、研究者のホワイトペーパーを参照してください。 White Paper_IKE_IKEv2 - ripe for DDoS abuse http://community.akamai.com/docs/DOC-5289 |
| 公表日 | 2016年2月29日0:00 |
| 登録日 | 2016年3月1日14:03 |
| 最終更新日 | 2016年6月23日14:46 |
| CVSS2.0 : 危険 | |
| スコア | 7.8 |
|---|---|
| ベクター | AV:N/AC:L/Au:N/C:N/I:N/A:C |
| 日本電気 |
| IX1000シリーズ 全バージョン |
| IX2000シリーズ 全バージョン |
| IX3000シリーズ 全バージョン |
| (複数のベンダ) |
| (複数の製品) |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2015年03月01日] 掲載 [2016年03月02日] ベンダ情報:ヤマハ (「IKE/IKEv2プロトコルがDOS攻撃に悪用される脆弱性」について) を追加 ベンダ情報:古河電気工業 (IKEv1/IKEv2 を利用した分散型サービス妨害攻撃(DDoS)の脆弱性) を追加 [2016年03月09日] ベンダ情報:インターネットイニシアティブ (IKEのパケット再送処理を利用することで、転送量を増幅しDoS攻撃の踏み台として利用される脆弱性について) を追加 [2016年03月10日] 参考情報:関連文書 (Internet Key Exchange (IKEv1, IKEv2) がDoS攻撃の踏み台として使用される問題について(お知らせ)) を追加 [2016年03月18日] ベンダ情報:アライドテレシス (アライドテレシス株式会社からの情報) を追加 [2016年06月23日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:日本電気 (NV16-012) を追加 ベンダ情報:バッファロー (Internet Key Exchange (IKEv1, IKEv2) が DoS 攻撃の踏み台として使用される問題) を追加 |
2018年2月17日10:37 |