Haavoittuvuuksia ISAKMP-protokollatoteutuksissa

ISAKMP (Internet Security Association and Key Management Protocol) -protokollaa käytetään kahden kommunikoivan osapuolen välille luotavan turvallisuuskäytännön (SA) neuvotteluun. ISAKMP-protokollan tehtäviin kuuluu muun muassa kommunikoivien osapuolten tunnistaminen ja avaintenvaihto sekä turvakäytännön parametreista sopiminen. ISAKMP-protokollaa käytetään erityisesti IPSec-turvaprotokollan kanssa.

Lukuisista eri ISAKMP-protokollatoteutuksista on löydetty erilaisia haavoittuvuuksia. Löydetyt haavoittuvuudet liittyvät tietyllä tavalla muokattuihin viesteihin, jotka lähetetään ISAKMP-protokollan vaiheessa yksi. Löydetyistä haavoittuvuuksista vakavimpia hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdejärjestelmässä omia komentojaan. Osaa haavoittuvuuksista hyväksikäyttämällä hyökkääjä voi kohdistaa kohdejärjestelmään palveluestotilanteen.

Haavoittuvuudet vaihtelevat eri valmistajien kesken.
Haavoittuvuudet on löydetty Oulun yliopiston OUSPG-ryhmän tekemällä eri ISAKMP-protokollaimplementaatioiden testaamiseen tarkoitetulla työkalulla. CERT-FI on yhdessä NISCC-organisaation kanssa koordinoinut maailmanlaajuisesti työkalun jakelua ja muuta testausvaiheeseen liittyvää toimintaa eri ohjelmisto- ja laitevalmistajien kanssa.

Haavoittuvuuksien testaamiseen käytetty työkalu on julkisesti saatavilla OUSPG-tutkimusryhmän www-sivustolla.

Varoituksen kohderyhmä

  • Lukuisat ISAKMP-protokollatoteutukset.

Haavoittuvia ISAKMP-toteutuksia voi olla varsinaisten VPN-laitteiden lisäksi esimerkiksi erilaisissa verkkolaitteissa ja käyttöjärjestelmissä. Valmistajakohtaista tietoa haavoittuvista ISAKMP-toteutuksista on saatavilla CERT-FI:n ja NISCC:n yhteisestä tiedotteesta:

http://www.ficora.fi/attachments/englantiav/1156489123761/ISAKMP.pdf

Ratkaisu- ja rajoitusmahdollisuudet

Päivitä haavoittuva ISAKMP-toteutus valmistajan ohjeiden mukaan.
Yleisohjeena CERT-FI suosittelee välttämään aggressive-moodin käyttöä.

Lisätietoa

http://www.ficora.fi/attachments/englantiav/1156489123761/ISAKMP.pdf

http://www.ee.oulu.fi/research/ouspg/protos/testing/c09/isakmp/

Päivityshistoria

Asiasanat: Tietoturva , Varoitukset

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248