VU#199397: トンネリングプロトコル(GRE/IPI... ノート

VU#199397: トンネリングプロトコル(GRE/IPIP/4in6/6in4)の不適切な実装

インターネットのインフラストラクチャーにおいて、トンネリング・プロトコルは不可欠ですが、これらはトラフィックの認証や暗号化を行わないため、攻撃に対して脆弱です。KU LeuvenのDistriNet研究グループの研究者たちは、認証されていないトラフィックを受け入れる数百万のインターネット・システムを発見しました。これらのシステムは、ワンウェイ・プロキシとして悪用される可能性があり、ソース・アドレス・スプーフィングを可能にし、プライベート・ネットワークにアクセスすることができます。また、これらのシステムは、サービス拒否(DoS)攻撃、特に13倍から75倍のトラフィック増加をもたらすアンプリフィケーション・アタックを許容する可能性もあります。さらに、研究者たちは、Economic Denial of Sustainability(EDoS)攻撃を発見しました。これにより、脆弱なシステムのアウトゴーイング・バンドウィズを枯渇させることができ、運用コストを増加させることができます。攻撃者は、これらの脆弱性を悪用してワンウェイ・プロキシを作成し、ソース・アドレスをスプーフィングし、DDoS攻撃を実行することができます。研究者たちは、これらの攻撃に対する防御策を提案しており、出版物に記載されています。これらの脆弱性には、CVE-2024-7595、CVE-2024-7596、CVE-2025-23018、およびCVE-2025-23019というCVE番号が割り当てられています。これらのCVEは、ネットワーク・パケットのソースを検証や検証しないプロトコルの固有の弱点を強調しています。研究者たちの発見は、ネットワーク・セキュリティーとインフラストラクチャーにとって重要な意味を持っています。