StrongSwanのEAP-TTLS AVPパーサーの高深刻度の脆弱性は、認証なしでリモートから悪用され、VPNサービスをオフラインにできる可能性があります。
クライアントとサーバーの暗号化と認証を提供するオープンソースIPsec VPNソリューションであるStrongSwanは、Windows、Linux、macOS、Android、およびその他のプラットフォームをサポートしており、エンタープライズ環境全体で広く使用されています。
このソフトウェアは、他の認証方法の中でも、拡張認証プロトコル-トンネリングされたトランスポートレイヤーセキュリティ(EAP-TTLS)をサポートしており、TLSトンネルを通じて認証データを渡すために属性値ペア(AVP)に依存しています。
先週、StrongSwanは、4.5.0から6.0.4までのすべてのバージョンが、EAP-TTLS AVPパーサーの整数アンダーフロー バグの影響を受けていることを警告しました。このバグは、無効な長さフィールドを持つ細工されたAVPデータを供給することでプロセスをクラッシュさせるために悪用される可能性があります。
「攻撃者は、減算前にAVP長フィールドの検証失敗を悪用して、過度なメモリ割り当てまたはNULLポインタ逆参照をトリガーし、charon IKEデーモンをクラッシュさせることができます」とNIST勧告は述べています。
この問題は、パーサーがAVPの長さ値をチェックしないために存在し、0から7の間の長さ値に対して32ビット整数アンダーフローが発生します。StrongSwanが説明しています。
メモリ割り当てが成功した場合、これはリソース枯渇につながりますが、大量のメモリの割り当てが失敗し、その結果NULLポインタ逆参照とセグメンテーション障害が発生してクラッシュする可能性があります。
Bishop Foxによると、この脆弱性の悪用を成功させるには、悪意あるパケットがヒープを破損させ、2番目のパケットがセグメンテーション障害をトリガーしてデーモンをクラッシュさせる2段階攻撃が必要です。
このサイバーセキュリティ企業は、クラッシュがシステムがあり得ないほど大きな割り当てリクエストをどのように処理するかに基づいてトリガーされることを発見しました。場合によってはNULLがすぐに返されますが、他の場合にはデーモンは後続のリクエストで破損した構造が使用されるときにのみクラッシュします。
この脆弱性はStrongSwanバージョン6.0.5で対処されました。このバージョンは、解析操作中のAVP長値の必要な検証を追加しました。
翻訳元: https://www.securityweek.com/strongswan-flaw-allows-unauthenticated-attackers-to-crash-vpns/
