RTシリーズのセキュリティに関するFAQ


MD5アルゴリズムの脆弱性について


最終変更日 2018/Nov/06
文書サイズ 15K

MD5アルゴリズムの脆弱性について


MD5アルゴリズムの衝突による以下の脆弱性が存在することが分かりました。

脆弱性とその概要

MD5アルゴリズムの衝突耐性の不備を利用した攻撃法により、X.509 証明書の偽造に成功したことが報告されました。

ヤマハルーターでは以下の機能でMD5アルゴリズムを使用しているため、この攻撃法により下記の影響を受ける可能性があります。

対象となる機能とコマンド


IPsec

ipsec sa policy コマンド

脆弱性とその概要

IPsec SAで使用する認証アルゴリズムにHMAC-MD5を選択した場合、受信側はデータの改竄(かいざん)を検知できない可能性があります。

該当機種とファームウェア

機種 該当ファームウェア
RTX5000 全リビジョン
RTX3500
RTX3000
RTX2000
RTX1500
RTX1210
RTX1200
RTX1100
RTX1000
RTX830
RTX810
FWX120
SRT100
NVR700W
RT107e
RTV700
RT105シリーズ
RT300i
RT140シリーズ

対策


IPsec

ipsec ike hash コマンド

脆弱性と概要

ISAKMP SAで使用するハッシュアルゴリズムにMD5を選択した場合、受信側はデータの改竄(かいざん)を検知できない可能性があります。

該当機種とファームウェア

機種 該当ファームウェア
RTX5000 全リビジョン
RTX3500
RTX3000
RTX2000
RTX1500
RTX1210
RTX1200
RTX1100
RTX1000
RTX830
RTX810
FWX120
SRT100
NVR700W
RT107e
RTV700
RT105シリーズ
RT300i
RT140シリーズ

対策


PPP

pp auth accept コマンド
pp auth request コマンド

脆弱性とその概要

PPPの通信を行う際に、pp auth accept、pp auth requestコマンドで認証方式にCHAPを指定している場合、なりすましを受ける可能性があります。

該当機能とファームウェア

機種 該当ファームウェア
RTX5000 全リビジョン
RTX3500
RTX3000
RTX2000
RTX1500
RTX1210
RTX1200
RTX1100
RTX1000
RTX810
FWX120
SRT100
NVR700W
NVR510
NVR500
RT58i
RT107e
RT250i
RTV700
RT57i
RT105シリーズ
RT300i
RT140シリーズ

対策


OSPF

ospf areaコマンド

脆弱性とその概要

OSPFを使用する際に、ospf areaコマンドで認証アルゴリズムをMD5に設定していると、なりすましを受ける可能性があります。

該当機能とファームウェア

機種 該当ファームウェア
RTX5000 全リビジョン
RTX3500
RTX3000
RTX2000
RTX1500
RTX1210
RTX1200
RTX1100
RTX1000
RTX810
FWX120
SRT100
NVR700W
RT107e
RT250i
RT105シリーズ
RT300i
RT140シリーズ

対策


RADIUS

radius secretコマンド

脆弱性とその概要

RADIUSを使用する際にradius secretコマンドを設定していると、なりすましを受ける可能性があります。

該当機能とファームウェア

機種 該当ファームウェア
RTX5000 全リビジョン
RTX3500
RTX3000
RTX1500
RTX1210
RTX1200
RTX1100
RTX1000
RTX810
FWX120
SRT100
NVR700W
RT250i
RT105シリーズ
RT300i
RT140シリーズ

対策


SSH

SSHでルーターにログインする場合

脆弱性とその概要

SSHでルーターにログインする場合、メッセージ認証方式にHMAC-MD5を使用していると、改竄(かいざん)されたメッセージを検知できない可能性があります。

該当機能とファームウェア

機種 該当ファームウェア
RTX5000 全リビジョン
RTX3500
RTX3000
RTX1210
RTX1200
RTX810
FWX120
SRT100
YSL-V810
NVR700W
NVR510
NVR500
RT58i
RTX1500Rev.8.03.37以降
RTX1100
RT107e Rev.8.03.42以降

対策


電話帳サーバー機能

sip userコマンド

脆弱性とその概要

電話帳サーバー機能を使用する際に、sip userコマンドで認証方式にdigest認証を使用していると、なりすましを受ける可能性があります。

該当機種とファームウェア

機種 該当ファームウェア
RTV01 全リビジョン
YSL-V810

対策

[ FAQ for RT-Series ]
[ FAQ for Security / VPN(IPsec) / RADIUS / Intro / Install / Config ]
[ 技術資料 / OSPF / SSHサーバ機能 ]