CiscoのIPSec VPN製品に新たな脆弱性

[ITmedia]

　米Cisco Systemsは4月15日、IPSec VPN製品のグループパスワード利用に関して新たな脆弱性が見つかったとして、アドバイザリーを公開した。

　同社によると、IPSec VPNクライアントに使われているグループパスワードはHDD上ではスクランブルがかけられるが、メモリ内ではスクランブルがかからず、同社製IPsec VPNのLinux版とWindows版でパスワードを取得できてしまう。

　グループパスワードを取得され、XAUTHプロトコルのInternet Key Exchange (IKE) Phase 1で事前共有鍵としてこれを利用されると有効なユーザーの接続が乗っ取られたり、ユーザー名とパスワードを盗まれる恐れがある。

　Ciscoは今年7〜9月期中に、この脆弱性を解消する機能を盛り込んだ製品を出荷する予定だとしている。この脆弱性の悪用を防ぐためには公開鍵インフラを導入し、グループパスワードベースの認証方法導入に当たってはリスクを慎重に検討するよう勧告している。