Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

一部ネットワーク機器に「DDoS攻撃」や「アクセス制御回避」の脆弱性

複数ベンダーのネットワーク機器に、「IP-in-IPプロトコル」を適切に処理しない脆弱性が含まれていることがわかった。「DDoS攻撃」や「アクセス制御」の回避に悪用されるおそれがある。

「IP in IPプロトコル」は、IPパケット内にカプセル化した別のIPパケットを含める技術だが、一部機器において、同プロトコルの処理に脆弱性「CVE-2020-10136」が明らかとなったもの。

受信した機器がカプセル化されたIPパケットを解除、転送する際に「送信元」と「宛先」が適切であるか確認する必要があるが、そうした処理を行っていない脆弱な機器では、攻撃者が指定した任意の宛先にパケットが転送されるおそれがある。

同脆弱性が悪用されると、DDoS攻撃の一種であるリフレクション攻撃の踏み台として利用されたり、アクセス制御の回避に悪用される可能性がある。

CERT/CCでは、脆弱性の調査にも利用できるPoCを公開。あわせてCisco SystemsやHP、Digi Internationalなど、脆弱性の影響を受けるベンダー情報を公開し、各社が提供する緩和策の実施を求めた。国内ベンダーに関する情報は、JVNに掲載されている。

またセキュリティ機関では、IDSによる不正なパケットへの対策や、「IP-in-IP」を利用していない場合は、無効化するなど、対策の実施を呼びかけている。

(Security NEXT - 2020/06/04 ) このエントリーをはてなブックマークに追加

PR

関連記事

脆弱性1件を修正した「Microsoft Edge 103.0.1264.44」が公開に
Google、「Chrome 103」をリリース - 重要度「クリティカル」の脆弱性に対処
2022年における危険な脆弱性タイプのトップ25が明らかに
国家関与の攻撃グループ、早期より「VMware Horizon」「UAG」の「Log4Shell」を標的に
「Cisco ESA」などに深刻な脆弱性 - 認証バイパスのおそれ
「Comodo Antivirus」に脆弱性の指摘 - 研究者が公開
Mozilla、最新ブラウザ「Firefox 102」をリリース - 脆弱性19件を修正
HPE Crayスーパーコンピューターに深刻な脆弱性 - アップデートで修正
MS、「Microsoft Edge 103.0.1264.37」で独自修正した脆弱性を追加 - 評価の逆転現象も
独自の脆弱性修正含む「Microsoft Edge 103.0.1264.37」が公開