Schwachstellen in VPN-Dienst zum Schlüsselaustausch (ISAKMP)

Thomas Walpulski beschreibt in einem Posting auf Bugtraq fünf Fehler in isakmpd, der OpenBSD-Implementierung des ISAKMP-Protokollrahmens. Darin sind der Internet-Key-Exchange-Dienst und diverse anderer Funktionen zum Aufbau und Betrieb von IPSec-VPNs zusammengefasst. Einige der Fehler ermöglichen das unautorisierte Löschen von IKE- und IPSec SAs, also der ausgehandelten Verbindungsparameter zweier IPSec-Entitäten. Allerdings muss man dazu zunächst eine Verbindung zu einem VPN-Gateway aufbauen und sich authentifizieren. Anschließend kann man durch Erraten des sogenannten Security Paramter Index (SPI), jede beliebige andere VPN-Verbindung terminieren, in dem man die eine Nachrichten zum Löschen einer SAs sendet. Auf der LUG-Jena (Linux User Group) hat Walpulski nach eigenen Angaben bereits einen erfolgreichen Angriff vorgeführt.

Einige Schritte beim Etablieren einer Verbindung sind zudem nicht ganz RFC-konform. Beispielsweise werden nicht alle Informationen im "Quick Mode" und "Main Mode" verschlüsselt übertragen. Einige Fehlerkorrekturen wurden laut Advisoriy bereits am 2.9.2003 eingepflegt, in der aktuellen Version von isakmpd 1.62 haben die Entwickler nochmals einige Fehler beseitigt. isakmpd läuft nicht nur auf OpenBSD-Plattformen, sondern ebenfalls auf Free- und NetBSD, Mac OS X, sowie auf Linux 2.6. Auch einige Security-Appliances setzen isakmp für VPN-Funktionen ein.

Siehe dazu auch: (dab)

• Security Advisory auf Bugtraq
• isakmp CVS-Tree auf OpenBSD.org