RNP - Rede Nacional de Ensino e Pesquisa

 

Sobre a RNP | Parcerias | Contato

 

A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos

 

RNP > Serviços > Segurança em redes > Alertas do CAIS

Segurança de redes 
 

Múltiplas vulnerabilidades na implementação do protocolo ISAKMP

CERT-FI-20051114

[CAIS, 14.11.2005-15:44, revisão 01]


O CAIS está repassando o alerta divulgado em conjunto pelo CERT da Finlândia (CERT-FI) e o Centro de Coordenação de Segurança da Infraestrutura Nacional do Governo Britânico (NISCC), intitulado "Multiple Vulnerability Issues in Implementation of ISAKMP Protocol", que trata de vulnerabilidades na implementação do ISAKMP, protocolo de gerenciamento de chaves, presente no IPSEC e em outros protocolos de segurança. Pelo aspecto genérico da vulnerabilidade, ela afeta diversos produtos de fabricantes diferentes.

O protoclo IPSEC é um protocolo de autenticação e criptografia para redes IP, muito utilizado para proteção de servidores, redes e para a criação de redes virtuais privadas, ou VPN (Virtual Private Networks).

As vulnerabilidades descobertas permitem a realização de ataques de negação de serviço (DoS) e, possivelmente, ataques de execução remota de código no sistema afetado.

Produtos afetados

Qualquer produto que implemente o ISAKMP como protocolo de gerenciamento de chaves pode estar vulnerável. A lista abaixo é apenas uma lista inicial de fabricantes que se pronunciaram a respeito das vulnerabilidades em questão:

  • 3com
  • Entrust
  • IBM
  • Intoto Inc
  • Juniper Networks, Inc
  • Microsoft
  • Mitel Corporation
  • Stonesoft Corp.
  • strongSwan
  • TeamF1 Inc

Mitigação

Os fabricantes dos produtos afetados pelas vulnerabilidades ainda estão trabalhando para determinar quais sistemas são afetados e quais as correções para cada sistema, porem algumas medidas podem ser tomadas para eliminar ou reduzir os efeitos dos ataques:

  • Utilizar filtros de pacotes e permitir negociação ISAKMP apenas de endereços IP confiáveis.
  • Evitar o uso do modo agressivo (agressive mode) na fase 1 do ISAKMP.
  • Desabilitar o uso de ISAKMP quando não for necessário

Informações de fabricantes

Seguem informações referentes a estas vulnerabilidades para alguns fabricantes (para uma lista completa, consultar o alerta original, cujo link encontra-se na seção "Mais Informações" deste alerta).

a) Cisco

A Cisco publicou um alerta entitulado "Multiple Vulnerabilities Found by PROTOS IPSec Test Suite", em que afirma que os seguintes produtos são vulneráveis:

  • Cisco IOS 1.2SXD, 12.3T, 12.4 e 12.4T
  • PIX Firewall versoes anteriores a 6.3(5)
  • PIX Firewall/ASA versoes anteriores a 7.0.14
  • FWSM versoes anteriores a 2.3(3)
  • VPN 3000 versoes anteriores a 4.1(7)H e 4.7(2)B
  • MDS Series SanOS versoes anteriores a 2.1.(2)

A Cisco informa que a exploração desta vulnerabilidade pode causar o reinício (restart) dos equipamentos vulneráveis. A Cisco afirma ainda que o dispositivo deve retornar a operar normalmente após o reinício sem nenhuma intervenção necessária.

Maiores detalhes e informações sobre atualização dos equipamentos podem ser vistas no alerta da Cisco, cujo link encontra-se na seção "Mais Informações" deste alerta.

b) Juniper

A Juniper Networks lançou o boletim de numero PSN-2005-11-007 a respeito deste problema. Foi informado que todos os roteadores Juniper das séries M, T, J e E são vulneráveis. Os usuários destes modelos de roteador devem atualizar as versões para 5-2-4p0-8 ou posterior para a série E de roteadores e Release 6.4 ou posterior (compilados a partir de 28/07/2005) para as séries M, T e J.

A Juniper classificou o risco destas vulnerabilidades como alto.

c) Microsoft

A Microsoft afirmou que revisou seus produtos, e que não encontrou nenhum produto frágil a esta vulnerabilidade em particular.

Correções disponíveis:

Verificar nos sites dos fabricantes as correções para cada equipamento ou software afetado.

Mais informações:

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

O CAIS Alerta também é oferecido no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml



Centro de Atendimento a Incidentes de Segurança

Listas de alertas publicados:
2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

Consulta em alertas

 

Assinatura dos Alertas do CAIS

Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas.

Formulário de assinatura dos Alertas do CAIS

Formulário de assinatura

Notícias RNP

RNP na mídia

Sala de imprensa

Publicações

Documentos

RSS da RNP

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais

11.10.2012

Guia RNP

Rede Nacional de Ensino e Pesquisa

Rua Lauro Müller, 116 sala 1103

Botafogo - Rio de Janeiro - RJ

22290-906

tel: 55 21 2102-9660

fax: 55 21 2279-3731


Rede Nacional de Ensino e Pesquisa

Prédio da Embrapa/Unicamp Av. André Tosello, 209

Cidade Universitária Zeferino Vaz - Campinas - SP

13083-886

tel: 55 19 3787-3300

fax: 55 19 3787-3301


Rede Nacional de Ensino e Pesquisa

SAS, quadra 5, lote 6, bloco H, 7° andar Edifício IBICT

Brasília - DF

70070-914

tel: 55 61 3243-4300

fax: 55 61 3226-5303