VPN von Cisco erlaubt Denial-of-Service

Ein Fehler in einem Protokoll macht die Cicso ‘VPN 3000 Concentrator’-Serie für eine Denial-of-Service-Attacke verwundbar.

Der Fehler befindet sich in dem Protokoll Internet Key Exchange (IKE). Dieses Protokoll ermöglicht entfernten Zugang zum Netzwerk über ein IPSec VPN (Virtual Private Network). Diese Serien-Modelle richten sich an große Unternehmen und unterstützten bis zu 10.000 VPN-Verbindungen gleichzeitig.

Der Angreifer kann dabei die Modelle der Serie VPN 3000 mit IKE-Anfragen überschwemmen. Dazu ist er bereits vor dem Einloggen als berechtigter Nutzer in der Lage. Durch die massenweise Verarbeitung der IKE-Anfragen, kann der Cisco-VPN keinen legitimen Datentransfer mehr leisten.

Entdeckt hat den Fehler der britische Sicherheitsexperte Roy Hills von dem Sicherheitsdienstleister NTA Monitor. Hills erklärte, dass möglicherweise auch einige Intrusion-Prevention-Systeme von Cisco betroffen sein könnten, da auch sie das IKE-Protokoll verwenden.

Inzwischen erklärte Cisco, der Fehler liege in der IKE Version 1.0 und sei kein Problem, das lediglich an einen Hersteller geknüpft sei. Als Workaround empfiehlt Cisco, das Protokoll Call Admission Control (CAC) zu implementieren. CAC könne die Zahl von simultanen Verbindungen beschränken. Da das Protokoll IKE in der gesamten Industrie verwendet würde und nicht auf Cisco beschränkt ist, sei es für den Hersteller schwer, einen Patch zu entwickeln.