RTシリーズのセキュリティに関するFAQ
「IKEv1 のメインモードに総当たり攻撃に対する脆弱性」について
最終変更日 | 2018/Nov/06 |
文書サイズ | 8.8K |
「IKEv1 のメインモードに総当たり攻撃に対する脆弱性」について
JPCERT/CC より以下の新たな脆弱性が報告されました。
この脆弱性の影響を受けるヤマハネットワーク製品があることが分かりました。
なお、ヤマハ無線LANアクセスポイント と ヤマハL2スイッチ はこの脆弱性の影響を受けません。
JVN No. | ルーター/ ファイアウォール |
無線LANアクセスポイント | L2/L3スイッチ |
---|---|---|---|
JVNVU#93409761 | ✔ | − | − |
対策方法につきましては以下をご確認ください。
IKEv1 の メインモード で 事前共有鍵 を使用する場合の脆弱性が指摘されています。
この脆弱性は、IKEv1 プロトコルの仕様に基づく脆弱性であり、RFCに違反せずに回避する方法はない見込みです。
また、IKEv2 で事前共有鍵を使用する場合についても、明確な手法は提示されておりませんが、同様の脆弱性があると報告されています。
対策としては、ブルートフォース攻撃や辞書攻撃に耐える暗号化強度のある安全な事前共有鍵を使うことが提案されています。
ヤマハルーターおよびファイアウォールの IKE もこの脆弱性の影響を受け、事前共有鍵が露呈する可能性があります。
事前共有鍵が露呈することにより、暗号化された通信が復号され、通信内容を盗聴される可能性があります。
機種 | 該当ファームウェア |
---|---|
RTX830 | 全てのリビジョン |
NVR510 | Rev.15.01.02 以降 |
NVR700W | 全てのリビジョン |
RTX1210 | |
RTX5000 | |
RTX3500 | |
FWX120 | |
RTX810 | |
NVR500 | Rev.11.00.36 以降 |
RTX1200 | 全てのリビジョン |
RTX3000 | |
RT107e | |
YMS-VPN8 | |
YMS-VPN7 |
この脆弱性は、IKE の仕様に基づく脆弱性のため、対策済みファームウェアのリリースの予定はありません。
以下の方法で回避または影響を低減できる場合があります。
ブルートフォース攻撃や辞書攻撃に耐える暗号化強度がある事前共有鍵を使うことで、事前共有鍵が露呈する可能性を低減することができます。
事前共有鍵方式ではなく、公開鍵またはEAP認証方式を使用することにより、本脆弱性を回避することが可能です。
IPsec、L2TP/IPsec、L2TPv3/IPsec を使用しない場合は、IKEv1 および IKEv2 を使用しないため、この脆弱性の影響を受けません。
なお、工場出荷状態では IPsec、L2TP/IPsec、L2TPv3/IPsec は無効になっております。
ヤマハ 無線LANアクセスポイント WLXシリーズ はこの脆弱性の影響を受けません。
ヤマハ L2/L3スイッチ SWXシリーズ はこの脆弱性の影響を受けません。
2018/08/21 : | 公開 |
[ FAQ for RT-Series ]
[ FAQ for Security / Intro / Install / Config ]