Vulnerability in Popular VPN Software Could Lead to Crashes and Service Disruptions
2024/04/15 SecurityOnline — 広く利用されているオープンソースの VPN (Virtual Private Network) ソフトウェアである Libreswan で、新たに発見された脆弱性 CVE-2024-3652 により、システム・クラッシュやサービス拒否攻撃の可能性が生じていると、研究者たちが指摘している。この脆弱性は、接続の安全性を確保するために、Libreswan に依存している組織にとってリスクとなる。
Libreswan とは
Libreswan は、IKE (Internet Key Exchange) プロトコルの一般的な実装であり、VPN の安全な暗号化接続を確立するために使用されるコア・コンポーネントである。それは、Linux/FreeBSD/NetBSD/OpenBSD などの OS でも利用されている。
脆弱性 CVE-2024-3652
この脆弱性は、Libreswan がデフォルトの AH/ESP 設定で IKEv1 レスポンダとして動作し、接続設定に明示的な “esp=” 行が存在しない場合に発生する。この脆弱性は、 (メインモード/アグレッシブモードによる) IKEv1 認証成功後のクイック・モード交換中にトリガーされる。不正な AES-GMAC プロポーザルによりサービスがクラッシュし、再起動する可能性がある。そのため、悪用されるとサービス拒否 (DoS) 状態に陥る可能性が生じる。
この問題の核心は、compute_proto_keymat() 関数にある。この関数が処理できないものに、NULL 暗号化を用いたときだけに可能になる、キーマット・サイズがゼロという予期せぬプロポーザルがある。このような、プロポーザルに遭遇するとアサーションに失敗し、Libreswan プロセスがクラッシュする。このエクスプロイトには、認証された IKEv1 接続が必要であるため、その実行性には複雑さが伴うが、影響を受けるシステムにとって重大なリスクとなる。
脆弱性が存在するバージョン
この脆弱性は、以下のバージョンの Libreswan に存在する:
- Libreswan 3.22~4.14
パッチと緩和策
すでに Libreswan プロジェクトは、影響を受けるソフトウェア・バージョン用のパッチをリリースしている。ユーザーに対して強く推奨されるのは、可能な限り早急に、以下のいずれかのバージョンへとアップグレードすることだ:
- Libreswan 4.15 以降
- Libreswan 5.0 以降
直ちにアップグレードができない場合には、Libreswan 内の接続コンフィグを変更するという回避策も有効だ。
追加情報
脆弱性 CVE-2024-3652 の回避策に関する技術情報などについては、Libreswan Project によるセキュリティ・アドバイザリで確認できる。
Libreswan とは、Linux/FreeBSD/NetBSD/OpenBSD などで利用され、VPN の安全な暗号化接続を確立するコア・コンポーネントとのことです。そこに、脆弱性 CVE-2024-3652 が発生していますので、ご注意ください。よろしければ、カテゴリ OpenSource も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.