domingo, 30 de julio de 2006

Denegación de servicio en el protocolo IKE de productos Cisco

Se ha encontrado una vulnerabilidad en el protocolo IKE (Internet Key
Exchange) que permite provocar una denegación de servicio por consumo
de recursos. Si se consigue aprovechar la vulnerabilidad, un atacante
podría impedir que usuarios legítimos negociasen una conexión segura.

Según Cisco, esta vulnerabilidad no está asociada a ningún fabricante
concreto, sino que es específica del protocolo IKE version 1. Afecta
a sistemas que lo implementen, y en Cisco son: PIX y en appliances de
seguridad ASA, Cisco IOS software, y concentradores VPN 3000 Series.

Esta vulnerabilidad puede verse mitigada si se implementa la función
"Call Admission Control for IKE". Se puede encontrar más información
sobre cómo implementarla en
http://www.cisco.com/en/US/products/sw/iosswrel/ps5207/products_feature_guide09186a0080229125.html.


Laboratorio Hispasec
Laboratorio@hispasec.com


Más información:

Cisco Security Response: Internet Key Exchange Resource Exhaustion Attack
http://www.cisco.com/en/US/tech/tk583/tk372/tsd_technology_security_response09186a00806f33d4.html