2016年2月29日に、JPCERT/CCより
「Internet Key Exchange(IKEv1,IKEv2)がDoS攻撃の踏み台として使用される問題」
というレポートが発表されました。
 
 JPCERT/CC
 Japan Vulnerability Notes JVNVU#91475438
   https://jvn.jp/vu/JVNVU91475438/

[対象製品]
WA1020, WA1510, WA1511, WA2021, WA2610-AP, WA2611-AP

[対象ソフトウェア]
IKEv1を利用するソフトウェアバージョン Ver3.0.2 から Ver7.1.3 までの全バージョン

[影響を受ける条件]
1. IPsecで、IKEv1を利用している。

 IKEv1プロトコル仕様による脆弱性であり、ルータがDoS/DDoS攻撃の踏み台にされる
 可能性があります。
 なお、この脆弱性による、ルータのVPN接続の詐称、暗号通信解読、異常動作・再起動
 などの影響はありません。

完全な対策はまだありません。

IKEv1をご利用の場合は、以下の方法で脆弱性の回避もしくは軽減ができる場合があります。

 　1. メインモード等、接続先アドレスが固定で運用している場合は、接続先アドレス
        以外のUDP/500は破棄するフィルタを設定する。

 　2. IKEv1の再送回数を減らす。 (デフォルトは5回)
       再送回数を減らすことでDoS攻撃の踏み台になった場合に、攻撃対象への影響を少なくします。
       ※IKEv1パケットすべての再送回数が減るため、不安定な回線状況では接続安定性
          が低下する可能性があります。
    <コマンド>
    ike retransmit count 2
       (interval を省略して設定すると 1秒 が自動的に設定されます。
        既に interval を設定してある場合は、count パラメータに引き続き、
        interval を指定してください。)

     2016年 3月8日　　初版発行