Tokyo SOC Report
複数Cisco製品におけるIKEv1の脆弱性(CVE-2016-6415)に関連するスキャン通信を確認
2016-12-27
カテゴリー Tokyo SOC Report
記事をシェアする:
Tokyo SOCでは国内外の複数の環境において、複数Cisco 製品におけるIKEv1の脆弱性(CVE-2016-6415)を悪用すると考えられるスキャン通信が発生していることを確認しました。
Tokyo SOCにおいて、国内の環境における2016年12月20日から12月27日までに本脆弱性を狙ったと考えられる攻撃検知数の推移を図1に示します。
昨日12月26日14時頃より現時点まで継続して本脆弱性を狙う、広範囲なスキャンと考えられる通信を検知しております。
IKEは、IPSecにおける暗号鍵交換プロトコルです。
本脆弱性は、Cisco社製品がIKEv1を使ってネゴシエーションを行う際のパケット処理に存在する脆弱性であり、攻撃者は不正に細工したパケットを送付することで、該当製品のメモリ上にある暗号鍵の情報や、設定情報を窃取する可能性があります。
これまでに確認した攻撃元IPは以下の通りです。
主にアメリカのホスティング会社のIPアドレスから、UDP 500番ポートへのスキャン通信を確認しております。
【送信元IPアドレス】
104.193.252.144
104.193.252.150
104.193.252.165
162.244.32.169
179.43.147.205
195.88.209.6
204.155.30.109
■12月29日更新
******************************
図2に、2016年12月26日から12月27日までに国内の環境において確認した、本脆弱性を狙ったと考えられる攻撃検知数の推移を示します。
Cisco製品の脆弱性(CVE-2016-6415)に関連するイベントの検知は、日本時間12月26日(月)15:00頃より始まり27日(火)16:00過ぎまで継続しておりました。
送信元はいずれも【送信元IPアドレス】に記載した7つのIPアドレスからものであり、宛先ポートはいずれもUDP 500番ポートへのものでした。
その後、【送信元IPアドレス】からのイベント検知はございませんでしたが、再び27日(火) 20:30頃より28日(水)18:00過ぎまで【送信元IPアドレス】からUDP 4500番ポートへの通信を継続して検知しておりました。4500番ポートへの通信について、検知ログからはCisco製品の脆弱性(CVE-2016-6415)との関連は不明ですが、UDP 4500番ポートはNAT環境でIKEのネゴシエーションを行う際に使用されるポートであり、本脆弱性と何らかの関連がある通信と考えられます。
******************************
本脆弱性の影響を受けるシステムとバージョンは下記の通りです。
【影響を受けるシステムとバージョン】
脆弱性を受けるシステムとバージョンについては、以下のサイトをご参照ください。
IKEv1 Information Disclosure Vulnerability in Multiple Cisco Products
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160916-ikev1
【対策】
1. 脆弱性の影響を受けるシステムをお使いの場合には、ファイアーウォール等により【送信元IPアドレス】に記載のIPアドレスやネットワークからの通信を遮断されることをご検討ください。
2. 修正済みバージョンへのアップデートを実施してください。
アップデート実施に当たっては、下記の情報などを参照いただき、必要なテストを行った上で実施をお願いいたします。
IKEv1 Information Disclosure Vulnerability in Multiple Cisco Products
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160916-ikev1
Tokyo SOCでは引き続き本脆弱性に対するスキャン通信の動向を注視していきます。
【参考情報】
IKEv1 Information Disclosure Vulnerability in Multiple Cisco Products
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160916-ikev1
Multiple Cisco products IKEv1 information disclosure CVE-2016-6415 Vulnerability Report
https://exchange.xforce.ibmcloud.com/vulnerabilities/116939
【著者情報】
柳 優
2008年日本アイ・ビー・エム株式会社入社。TSDLにてミドルウェア製品エンジニアを経て、2015年よりTokyo Security Operation Center(SOC)にてセキュリティー・アナリスト業務に従事
大規模言語モデル(LLM)の隠れたリスク:催眠術をかけられたAIの実状
この記事は英語版 Security Intelligenceブログ「Unmasking hypnotized AI: The hidden risks of large language models」(2023年8月8 […]
AIと人間の不正搾取対決:新時代のフィッシングの手口を解明する
※この記事は、IBM X-Force Redに所属するエシカル・ハッカーのStephanie Carruthersにより執筆された文章を翻訳しています。 攻撃者の技術革新は、テクノロジーの発展とほぼ同じスピ […]
IBM Security Trusteer Rapport (ラポート)のダウンロードおよび購入を騙る不審サイトにご注意ください
架空の団体から贈与金を受け取れる等のフィッシング・メールが届き、メール本文に記載されたリンクをクリックすると不正サイトへ誘導され、金銭を安全に受け取るためと称して IBM Security Trusteer Rappor […]