Schwachstellen im IPSec-Schlüsseltausch über ISAKMP

Das britische National Infrastructure Security Co-Ordination Centre (NISCC) hat zusammen mit der finnischen Universität Oulu nach Schwachstellen beim Schlüsselaustausch für IPSec-Tunnel über das Internet Security Association and Key Management Protocol (ISAKMP) gesucht und wurde bei mehreren Hersteller-Implementierungen fündig. IPSec wird zur Sicherung von Virtuellen Privaten Netzwerken (VPNs) genutzt. Diverse Produkte verschiedener Hersteller – unter anderem von Cisco, Juniper, Secgo und StoneGate – sind nach einem Advisory vom NISCC anfällig für Denial-of-Service-Attacken, Format-String-Schwachstellen oder Pufferüberläufe.

Als erster Hersteller hat Cisco auf dabei entdeckte Lücken reagiert. Ein Fehler bei der Verarbeitung von Internet-Key-Exchange-Nachrichten (IKE) könnten Angreifer bei diversen Cisco-Geräten zu einem Denial-of-Sevice (DoS) gegen IPSec-Tunnel nutzen. Das über UDP-Protokoll laufende IKE wird genutzt, um die Schlüssel für gesicherte IPSec-Verbindungen auszutauschen.

Werden betroffene Cisco-Geräte mit manipulierten IKE-Nachrichten konfrontiert, führt dies zum Neustart des IKE-Prozesses. Durch einen kontinuierlichen Paketversand könnte ein Angreifer das Aufbauen von IPSec-Tunnel verhindern – gegebenenfalls brechen auch bestehende Verbindungen zusammen, wenn ein Schlüsseltausch ansteht. Angreifer könnten damit beispielsweise über IPSec-Tunnel im Virtual Private Network (VPN) angebundene Filialen von größeren Unternehmen vom Kernnetz abhängen.

Cisco listet die betroffenen Betriebssystem- und Software-Versionen in einer Sicherheitsmeldung auf. Dort finden sich auch Beschreibungen von Workarounds und Links zu Software-Updates.

Siehe dazu auch: (dmk)

• Multiple Vulnerabilities Found by PROTOS IPSec Test Suite, Security Advisory von Cisco
• Multiple Vulnerability Issues in Implementation of ISAKMP Protocol, Security Advisory vom NISCC