概要
strongSwan は オープン ソース の IPsec ベース VPN ソリューション であり、企業 や 組織 の VPN インフラストラクチャ で 広く 使用 されて います。この 脆弱性 は EAP-TTLS(Extensible Authentication Protocol - Tunneled Transport Layer Security)認証 処理 に おける 整数 アンダーフロー の 問題 です。
EAP-TTLS プロトコル の メッセージ に は AVP(Attribute-Value Pair)が 含まれ、各 AVP に は 長さ フィールド が あります。strongSwan の 実装 で は、この AVP 長さ フィールド の 値 を 減算 処理 する 前 に 適切 な 検証 を 行って いません。攻撃者 が 不正 に 小さい 長さ 値 を 持つ AVP を 送信 する と、減算 時 に 整数 アンダーフロー が 発生 し、結果 として 非常 に 大きな メモリ 割り当て が 試行 されます。
この 整数 アンダーフロー は 2つ の 結果 を もたらします。1つ 目 は 過大 な メモリ 割り当て に よる サービス の 応答 不能、2つ 目 は NULL ポインタ 参照 に よる charon デーモン の クラッシュ です。いずれ の 場合 も VPN サービス が 停止 し、サービス 拒否(DoS)状態 に 陥ります。
この 脆弱性 は CWE-191(Integer Underflow)と CWE-476(NULL Pointer Dereference)の 複合 に 分類 されます。影響 を 受ける バージョン は strongSwan v4.5.0 から v6.0.4 まで の 広範囲 に わたります。CVSS スコア は 7.5 で High と 評価 されて います。修正 バージョン v6.0.5 が リリース されて います。VPN インフラストラクチャ に strongSwan を 使用 して いる 場合 は、速やかに アップデート を 実施 して ください。
strongSwan は Linux ディストリビューション の 多く で パッケージ として 提供 されて おり、企業 の リモート アクセス VPN や サイト 間 VPN で 広く 利用 されて います。VPN サービス の 停止 は リモート ワーカー の 業務 に 直接 影響 する ため、DoS 攻撃 に よる 事業 継続性 へ の リスク は 高い です。影響 バージョン は v4.5.0 から と 非常 に 広範囲 であり、長期間 アップデート を 行って いない 環境 も 影響 を 受けます。パッケージ マネージャ(apt, yum 等)経由 で の セキュリティ アップデート を 確認 して ください。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 7.5(High) |
| 攻撃 元 区分 | ネットワーク |
| 攻撃 条件 の 複雑 さ | 低 |
| 必要 な 特権 レベル | 不要 |
| ユーザー 関与 | 不要 |
| CWE | CWE-191(Integer Underflow)/ CWE-476(NULL Pointer Dereference) |
影響 を 受ける ソフトウェア
| 製品 | ベンダー | 影響 バージョン |
|---|---|---|
| strongSwan | strongSwan Project | v4.5.0 から v6.0.4 |
修正 バージョン と 回避策
- 修正 バージョン: v6.0.5
- 回避策: EAP-TTLS 認証 を 使用 して いない 場合、EAP-TTLS プラグイン を 無効化 する
- 回避策: ファイアウォール で IKE/IPsec トラフィック の レート 制限 を 設定 し、DoS の 影響 を 緩和 する
- 推奨: strongSwan を 最新 バージョン に アップデート する
- 推奨: VPN サーバー の 監視 を 強化 し、charon デーモン の 異常 終了 を 検知 する アラート を 設定 する
- 推奨: 自動 再起動(systemd の Restart=always 等)を 設定 し、クラッシュ 時 の ダウンタイム を 最小化 する
- 推奨: VPN ゲートウェイ の 冗長 構成 を 検討 し 単一 障害 点 を 排除 する
関連 リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。