RTシリーズのセキュリティに関するFAQ
「IKE/IKEv2プロトコルがDOS攻撃に悪用される脆弱性」について
| 最終変更日 | 2018/Nov/06 |
| 文書サイズ | 8.5K |
「IKE/IKEv2プロトコルがDOS攻撃に悪用される脆弱性」について
JPCERT/CC より以下の新たな脆弱性が報告されました。
この脆弱性の影響を受けるヤマハネットワーク製品があることが分かりました。
なお、ヤマハ無線LANアクセスポイント と ヤマハL2スイッチ はこの脆弱性の影響を受けません。
| JVN No. | ルーター/ ファイアウォール |
無線LANアクセスポイント | L2スイッチ |
|---|---|---|---|
| JVNVU#91475438 | ✔ | − | − |
対策方法につきましては以下をご確認ください。
この脆弱性は、IKE および IKEv2 の仕様に基づく脆弱性です。
ヤマハルーターおよびファイアウォールの IKE および IKEv2 もこの脆弱性の影響を受け、DOS攻撃の踏み台に悪用される可能性があります。
この脆弱性による情報漏洩のおそれはありません。
| 機種 | 該当ファームウェア |
|---|---|
| RTX1210 | 全てのリビジョン |
| RTX5000 | |
| RTX3500 | |
| FWX120 | |
| RTX810 | |
| RTX1200 | |
| SRT100 | |
| RTX3000 | |
| RTX1100 | |
| RT107e | |
| NVR700W |
この脆弱性はIKE および IKEv2 の仕様に基づく脆弱性であり、完全な対策方法はまだ分かっておりません。
IPsec、L2TP/IPsec、L2TPv3/IPsec を使用しない場合は、IKE および IKEv2 を使用しないため、この脆弱性の影響を受けません。
これらの機能を使用している場合は、以下の方法で回避または影響を低減できる場合があります。
なお、工場出荷状態では IPsec、L2TP/IPsec、L2TPv3/IPsec は無効になっております。
ip interface secure filter in .... 200050 200051 200059
ip interface secure filter out .... 200060 200061 200069
ip filter 200050 pass (接続先1のIPアドレス) * udp 500 *
ip filter 200051 pass (接続先2のIPアドレス) * udp 500 *
ip filter 200059 reject * * udp 500 *
ip filter 200060 pass * (接続先1のIPアドレス) udp * 500
ip filter 200061 pass * (接続先2のIPアドレス) udp * 500
ip filter 200069 reject * * udp * 500
IKE および IKEv2 の再送回数を少なくする事によって、踏み台にされた場合でもターゲットへの影響を少なくします。
この設定を行った場合は、不安定なネットワーク回線では IPsec、L2TP/IPsec、L2TPv3/IPsec の接続維持性が低下します。
ipsec ike retry 1 5
ヤマハ 無線LANアクセスポイント WLX302 はこの脆弱性の影響を受けません。
ヤマハ L2スイッチ SWX2100シリーズ、SWX2200シリーズ、SWX2300シリーズ はこの脆弱性の影響を受けません。
| 2016/03/01 : | 公開 |
[ FAQ for RT-Series ]
[ FAQ for Security / Intro / Install / Config ]