特定のIKEパケットの受信によりIPsecインタフェースでの通信ができなくなる脆弱性があります。これにより遠隔の第三者からサービス運用妨害(DoS)攻撃を受ける可能性があります。
2017/09/11
以下のバージョンにおいて影響を受けます。
機種 | バージョン |
---|---|
SEIL BPV4 | 5.00 - 5.72 |
SEIL/x86 Fuji | 3.20 - 5.72 |
SEIL/X1 | 4.60 - 5.72 |
SEIL/X2 | 4.60 - 5.72 |
SEIL/B1 | 4.60 - 5.72 |
次の条件にすべて一致する場合に影響を受けます。
フロートリンクによるIPsec-VPNを構築している
NATによるリモートアドレス書き換えの検知を有効化している
コンフィグに下記のコマンドが設定されている場合は、上記の利用方法に該当します。
interface <ipsec> floatlink dynamic-remote-address enable
条件に該当するとき、次のいずれかのIKE(ISAKMP)パケットを受信すると、一部のIPsecインタフェースが通信不能になる場合があります。
Cookieが未知かつ、exchange typeがQuickのパケット
Commit Bitが1かつ、メッセージIDが0のパケット
時間経過によってIKE Phase2の再折衝が行われると復旧します。また、次のいずれかのコマンドでセッションをクリアすることで再折衝による復旧が期待できます。
clear floatlink interface <ipsec>
clear ipsec security-association all(すべてのセッションがクリアされます)
※ フロートリンクはSMFv2モードで動作するときのみ(SACM利用時のみ)設定できます。このため、SMFモード(IIJ SMF sxサービス利用時)やルータモードで動作する場合は該当しません。
本脆弱性を修正したファームウェアをリリースしました。
下記のバージョン以降への早急な変更を推奨します。
機種 | バージョン |
---|---|
SEIL/x86 Fuji | 5.73 |
SEIL/X1 | 5.73 |
SEIL/X2 | 5.73 |
SEIL/B1 | 5.73 |
なし
JVN#76692689 SEIL シリーズルータにおけるサービス運用妨害 (DoS) の脆弱性