Hiba az Internet egyik kulcsfontosságú protokolljában

Az Oulu egyetem IT-biztonsággal foglalkozó kutatói hétfőn közölték, hogy az Internet Security Association and Key Management Protocol (ISAKMP) hibásnak találtatott. Az ISAKMP-t virtuális magánhálózatot támogató és tűzfalfunkciókat ellátó termékekben alkalmazzák – például az olyan óriások is, mint amilyen a Cisco Systems vagy a Junipter Networks. Az ISAKMP az IPsec fontos része, ez utóbbit biztonságos, az Interneten átívelő kapcsolatok létrehozására használják. A biztonságos „alagutak” révén nagyobb vállalatokat azok kisebb méretű leányvállalataival kötik össze, de a távmunkában dolgozók közül is sokan használják a technológiát arra, hogy elérjék a belső hálózatot.

A brit nemzeti Infrastruktúrabiztonságot felügyelő központ (NISCC) és a finn CERT tájékoztatása értelmében a probléma komolysága forgalmazóról forgalmazóra változik. Ezek a hibák denial-of-service kondíciók kialakulásához vezethetnek és puffertúlcsordulások révén használhatók ki, olvasható a közleményben. A következmények is változatosak lehetnek: a megtámadott eszközök szoftverei lefagyhatnak, ami az internetes adatforgalom lassulásához vezethet; de bizonyos esetekben a támadók kódot is futtathatnak a célpont eszközön, mely felett akár meg is szerezhetik az ellenőrzés jogát, figyelmeztetett az NISCC.

Mind a Cisco, mind a Juniper elismerte, hogy némely termékük érintett az esetben. A Cisco közlése szerint egyes eszközeiknél a hiba révén folyamatos resetelés érhető el, ami szolgáltatásmegtagadásra irányuló támadásnak is felfogható; arról azonban nem esett szó a vállalat tájékoztatójában, hogy készülékeinek bármelyikét is el lehetne téríteni ennek a sebezhetőségnek a révén. A Cisco ingyenes szoftverfrissítéseket biztosít a probléma kiiktatására, melyeket a következő típusú hálózati eszközökkel rendelkező vállalatok számára érdemes beszerezni: Cisco IOS, Cisco PIX Firewall, Cisco Firewall Services Module, Cisco VPN 3000 Series Concentrators és Cisco MDS Series SanOS. A Juniper-féle termékek közül az M-, a T-, a J- és az E-sorozatú routerek érintettek, illetve a Junos és a JunoSe Security szoftverek legtöbb változata. A cég egyébként már június óta tud a hibáról; a július 28-a után kiadott szoftverek éppen ezért már mentesek tőle.

Az Openswan Project (ami egy, a linuxos termékek sokaságán használt IPsec szoftver) szintén ki van téve ennek a sérülékenységnek – emiatt a programot fejlesztő szervezet kiadta a legfrissebb, 2.4.2-es változatot. A 3Com egyelőre vizsgálódik, érintett-e az esetben, az IBM és a Microsoft termékei – a gyártók közlése szerint – mentesek a hibától.