Background Print only logo
Cert logo
på svenska | in English 		www.viestintävirasto.fi
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Varoitukset > 2005 > CERT-FI varoitus 82/2005

CERT-FI varoitus 82/2005

14.11.2005

Haavoittuvuuksia ISAKMP-protokollatoteutuksissa

ISAKMP (Internet Security Association and Key Management Protocol) -protokollaa käytetään kahden kommunikoivan osapuolen välille luotavan turvallisuuskäytännön (SA) neuvotteluun. ISAKMP-protokollan tehtäviin kuuluu muun muassa kommunikoivien osapuolten tunnistaminen ja avaintenvaihto sekä turvakäytännön parametreista sopiminen. ISAKMP-protokollaa käytetään erityisesti IPSec-turvaprotokollan kanssa.

Lukuisista eri ISAKMP-protokollatoteutuksista on löydetty erilaisia haavoittuvuuksia. Löydetyt haavoittuvuudet liittyvät tietyllä tavalla muokattuihin viesteihin, jotka lähetetään ISAKMP-protokollan vaiheessa yksi. Löydetyistä haavoittuvuuksista vakavimpia hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdejärjestelmässä omia komentojaan. Osaa haavoittuvuuksista hyväksikäyttämällä hyökkääjä voi kohdistaa kohdejärjestelmään palveluestotilanteen.

Haavoittuvuudet vaihtelevat eri valmistajien kesken.
Haavoittuvuudet on löydetty Oulun yliopiston OUSPG-ryhmän tekemällä eri ISAKMP-protokollaimplementaatioiden testaamiseen tarkoitetulla työkalulla. CERT-FI on yhdessä NISCC-organisaation kanssa koordinoinut maailmanlaajuisesti työkalun jakelua ja muuta testausvaiheeseen liittyvää toimintaa eri ohjelmisto- ja laitevalmistajien kanssa.

Haavoittuvuuksien testaamiseen käytetty työkalu on julkisesti saatavilla OUSPG-tutkimusryhmän www-sivustolla.

VAROITUKSEN KOHDERYHMÄ:

  • Lukuisat ISAKMP-protokollatoteutukset.

Haavoittuvia ISAKMP-toteutuksia voi olla varsinaisten VPN-laitteiden lisäksi esimerkiksi erilaisissa verkkolaitteissa ja käyttöjärjestelmissä. Valmistajakohtaista tietoa haavoittuvista ISAKMP-toteutuksista on saatavilla CERT-FI:n ja NISCC:n yhteisestä tiedotteesta:

http://www.ficora.fi/attachments/englantiav/1156489123761/ISAKMP.pdf

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva ISAKMP-toteutus valmistajan ohjeiden mukaan.
Yleisohjeena CERT-FI suosittelee välttämään aggressive-moodin käyttöä.

LISÄTIETOA:

http://www.ficora.fi/attachments/englantiav/1156489123761/ISAKMP.pdf

http://www.ee.oulu.fi/research/ouspg/protos/testing/c09/isakmp/

PÄIVITYSHISTORIA:

14.11.2005: Julkaistu
14.11.2005: Haavoittuvuuksien testaamiseen käytetty työkalu on julkisesti saatavilla.
Sivua päivitetty 12.10.2009   Tulostusversio Tulostusversio