複数Cisco製品におけるIKEv1の脆弱性(CVE-2016-6415)に関連するスキャン通信を確認

Tokyo SOCでは国内外の複数の環境において、複数Cisco 製品におけるIKEv1の脆弱性(CVE-2016-6415)を悪用すると考えられるスキャン通信が発生していることを確認しました。

Tokyo SOCにおいて、国内の環境における2016年12月20日から12月27日までに本脆弱性を狙ったと考えられる攻撃検知数の推移を図1に示します。

cve-2016-6415_no1

昨日12月26日14時頃より現時点まで継続して本脆弱性を狙う、広範囲なスキャンと考えられる通信を検知しております。

IKEは、IPSecにおける暗号鍵交換プロトコルです。
本脆弱性は、Cisco社製品がIKEv1を使ってネゴシエーションを行う際のパケット処理に存在する脆弱性であり、攻撃者は不正に細工したパケットを送付することで、該当製品のメモリ上にある暗号鍵の情報や、設定情報を窃取する可能性があります。

これまでに確認した攻撃元IPは以下の通りです。
主にアメリカのホスティング会社のIPアドレスから、UDP 500番ポートへのスキャン通信を確認しております。

【送信元IPアドレス】
104.193.252.144
104.193.252.150
104.193.252.165
162.244.32.169
179.43.147.205
195.88.209.6
204.155.30.109

■12月29日更新
******************************
図2に、2016年12月26日から12月27日までに国内の環境において確認した、本脆弱性を狙ったと考えられる攻撃検知数の推移を示します。

cve-2016-6415_no2

Cisco製品の脆弱性(CVE-2016-6415)に関連するイベントの検知は、日本時間12月26日(月)15:00頃より始まり27日(火)16:00過ぎまで継続しておりました。
送信元はいずれも【送信元IPアドレス】に記載した7つのIPアドレスからものであり、宛先ポートはいずれもUDP 500番ポートへのものでした。

その後、【送信元IPアドレス】からのイベント検知はございませんでしたが、再び27日(火) 20:30頃より28日(水)18:00過ぎまで【送信元IPアドレス】からUDP 4500番ポートへの通信を継続して検知しておりました。4500番ポートへの通信について、検知ログからはCisco製品の脆弱性(CVE-2016-6415)との関連は不明ですが、UDP 4500番ポートはNAT環境でIKEのネゴシエーションを行う際に使用されるポートであり、本脆弱性と何らかの関連がある通信と考えられます。
******************************

本脆弱性の影響を受けるシステムとバージョンは下記の通りです。

【影響を受けるシステムとバージョン】
脆弱性を受けるシステムとバージョンについては、以下のサイトをご参照ください。

IKEv1 Information Disclosure Vulnerability in Multiple Cisco Products
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160916-ikev1

【対策】
1. 脆弱性の影響を受けるシステムをお使いの場合には、ファイアーウォール等により【送信元IPアドレス】に記載のIPアドレスやネットワークからの通信を遮断されることをご検討ください。
2. 修正済みバージョンへのアップデートを実施してください。
アップデート実施に当たっては、下記の情報などを参照いただき、必要なテストを行った上で実施をお願いいたします。

IKEv1 Information Disclosure Vulnerability in Multiple Cisco Products
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160916-ikev1

Tokyo SOCでは引き続き本脆弱性に対するスキャン通信の動向を注視していきます。

【参考情報】
IKEv1 Information Disclosure Vulnerability in Multiple Cisco Products
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160916-ikev1

Multiple Cisco products IKEv1 information disclosure CVE-2016-6415 Vulnerability Report
https://exchange.xforce.ibmcloud.com/vulnerabilities/116939

記事をシェアする:

シェア オン LinkedIn