Ошибка в VPN угрожает интернет-трафику

Ошибка в ключевом протоколе интернет-безопасности, который используется в большинстве сетевых продуктов, может сделать системы беззащитными перед атаками на отказ в обслуживании и другими видами атак, предупреждают эксперты.

В понедельник финские исследователи из университета Оулу объявили о том, что они обнаружили уязвимость в протоколе Internet Security Association and Key Management Protocol, или ISAKMP. Данная технология применяется в виртуальных частных сетях IPsec и межсетевых экранах многих сетевых компаний, включая Cisco Systems и Juniper Networks.

Согласно рекомендациям, опубликованным совместно Британским национальным центром координации безопасности инфраструктуры и финским CERT, степень опасности зависит от поставщика ПО. «Эти ошибки могут создать условия для атак на отказ в обслуживании, а также для атак с использованием уязвимостей форматирующей строки и переполнения буфера», — говорится в рекомендациях. Все это грозит выходом из строя устройств и замедлением передачи данных через интернет. В некоторых случаях хакеры могут исполнять собственный код и перехватывать управление устройством, предупреждает NISCC.

ISAKMP, с которым связаны другие протоколы безопасности, используется для образования безопасных каналов в общедоступном интернете. Это важная часть спецификации IPsec, которая применяется для шифрования пакетов и создания безопасных тоннелей для передачи трафика корпоративных сетей по открытому интернету. Крупные компании с мелкими филиалами используют IPsec для безопасной связи между этими филиалами и штаб-квартирой. Удаленные работники также пользуются данной технологией для доступа во внутренние сети своих компаний.

Cisco и Juniper, два крупнейших поставщика сетевой технологии, признали, что некоторые их продукты подвержены риску. Cisco сказала, что ошибка может привести к тому, что устройства будут перезагружаться вновь и вновь, а это может вызвать временный отказ в обслуживании. Компания не упоминала о возможности постороннего вторжения в устройство.

Cisco предложила бесплатные обновления для исправления проблемы и опубликовала предупреждение об опасности. В перечень продуктов Cisco, на которые влияет данная ошибка, входят Cisco IOS, Cisco PIX Firewall, Cisco Firewall Services Module, Cisco VPN 3000 Series Concentrators и Cisco MDS Series SanOS.

В список подвергаемых опасности продуктов Juniper вошли все маршрутизаторы M-series, T-series, J-series и E-series компании, а также большинство версий ПО безопасности Junos и JunoSe. Представитель Juniper сообщил, что компании известно о проблеме с июня, и начиная с 28 июля она выпускает ПО, в котором эта ошибка исправлена.

Ошибка влияет и на программное обеспечение IPsec Openswan Project, используемое во многих Linux-продуктах. Стоящая за ним организация выпустила исправленную версию Openswan 2.4.2. Обновление можно загрузить с веб-сайта проекта.

Поставщик сетевого оборудования 3Com сообщил, что компания изучает этот вопрос, а IBM и Microsoft заявили, что их продукты вне опасности. Полный перечень компаний, откликнувшихся на предупреждение, приведен на веб-сайте NISCC.

Обсуждение и комментарии

	Wintermute - devnul.ru 15 Nov 2005 11:13 AM
ХА... ХА... ХА... Дыра в CISCO, ошизе-еть!

	M&M's 15 Nov 2005 12:52 PM
> Поставщик сетевого оборудования 3Com сообщил, что компания изучает этот вопрос, а IBM и Microsoft заявили, что их продукты вне опасности. Ржунимагу

	Wintermute - devnul.ru 15 Nov 2005 2:42 PM
2 M&M's: MS не использует ISAKMP, так что нефиг ржать. От себя добавлю, что MS VPN ставится и настраивается минуты за 2, установка Cisco VPN занимает пол-часа, правильная настройка - столько же. Cisco VPN (был) более безопасным, но при его использовании наблюдаются презабавнейшие "побочные эффекты" :)

	M&M's 15 Nov 2005 4:53 PM
2 Wintermute: ну в этот раз МСу повезло, в отличии от Линуха ;-)

← октябрь 2005

10 11 13 14 15 16 17 18 21

декабрь 2005 →