Netwerkfabrikanten dichten ernstig VPN-lek
Virtueel Problematisch Netwerk
15 november 2005 | Nico Vandenabeele
Prominente netwerkfabrikanten als Cisco en Juniper stellen alles in het werk om een ernstig lek te dichten in een veelgebruikt beveiligingsprotocol voor virtuele private netwerken (VPN).
De kwetsbaarheid werd ontdekt door onderzoekers van de Finse universiteit van Oulu. Het gaat om een lek in het Internet Security Association & Key Management Protocol (ISAKMP), een belangrijk onderdeel van de populaire VPN-technologie IPSec. De technologie wordt ook toegepast in firewallproducten van netwerkbedrijven.
VPN-netwerken worden door bedrijven gebruikt om via het internet van buitenaf een beveiligde verbinding te maken met het bedrijfsnetwerk, bijvoorbeeld om thuiswerkers toegang te geven tot het centrale netwerk.
De ernst van het probleem varieert van fabrikant tot fabrikant, zo meldt het Finse CERT en het Britse NISCC. Door het lek worden systemen vatbaar voor denial-of-service aanvallen, format string aanvallen en buffer overflows, aldus het NISCC. In bepaalde gevallen kunnen hackers zelfs code uitvoeren en de controle over een systeem overnemen.
Cisco Systems heeft op haar website een
lijst van getroffen producten gepubliceerd. Het bedrijf stelt ook een gratis patch ter beschikking om het lek te dichten.
Een woordvoerder van Juniper Networks bevestigde dat het bedrijf al enkele maanden op de hoogte was van het probleem en dat het lek intussen is gedicht. Ook het
Openswan Project, een IPSec-implementatie voor Linux, heeft een nieuwe versie uitgebracht die afrekent met het beveiligingsprobleem.
Netwerkfabrikant 3Com onderzoekt de zaak. IBM en Microsoft hebben al laten weten dat hun producten niet getroffen zijn door het lek. Op de website van NISCC staat een volledige
lijst van bedrijven die gereageerd hebben op de beveiligingswaarschuwing.
Lees meer artikels over :
vpn, lek, kwetsbaarheid, hacker, virtueel
bron: ZDNet
