Plataforma
linux
Componente
libreswan
Corrigido em
3.29.1
Uma vulnerabilidade foi descoberta no projeto Libreswan, relacionada ao processamento de pacotes de troca de informações IKEv1. A falha reside na ausência de verificação do valor de integridade após a criptografia, permitindo que um atacante manipule esses pacotes. Essa vulnerabilidade afeta versões do Libreswan anteriores à 3.29 e pode levar a comprometimento da confidencialidade dos dados.
Um atacante pode explorar essa vulnerabilidade para interceptar e modificar pacotes IKEv1, potencialmente comprometendo a confidencialidade das comunicações. A ausência de verificação de integridade permite a injeção de dados maliciosos dentro dos pacotes criptografados, que são então processados pelo receptor sem validação. Isso pode levar à exfiltração de informações sensíveis ou à manipulação de conexões VPN, permitindo acesso não autorizado a redes protegidas. Embora classificada como de baixo impacto, a exploração bem-sucedida pode ter consequências significativas dependendo da criticidade dos dados transmitidos via VPN.
A vulnerabilidade foi divulgada publicamente em 2019-06-12. Não há evidências de exploração ativa em campanhas direcionadas, mas a natureza da vulnerabilidade (manipulação de pacotes criptografados) a torna um alvo potencial para exploração futura. A ausência de um KEV listing indica um nível de risco considerado moderado, sem evidências imediatas de uso em ataques em larga escala.
Organizations and individuals utilizing Libreswan for IPsec VPN connections, particularly those relying on IKEv1 for compatibility with older systems, are at risk. Shared hosting environments where Libreswan is deployed could also be affected if the underlying infrastructure is vulnerable.
• linux / server:
journalctl -u libreswan | grep -i ikev1• linux / server:
ps aux | grep libreswan• linux / server:
ss -t udp | grep 500disclosure
Status do Exploit
EPSS
0.22% (percentil 45%)
Vetor CVSS
A mitigação primária para essa vulnerabilidade é atualizar o Libreswan para a versão 3.29 ou superior, que corrige a falha de verificação de integridade. Em ambientes onde a atualização imediata não é possível, considere implementar regras de firewall para restringir o tráfego IKEv1 de fontes não confiáveis. Monitore logs de rede para atividades suspeitas relacionadas a pacotes IKEv1. Implementar um sistema de detecção de intrusão (IDS) pode ajudar a identificar tentativas de exploração. Após a atualização, confirme a correção verificando a versão do Libreswan com o comando libreswan --version.
Atualize Libreswan para a versão 3.29 ou posterior. Esta atualização corrige a vulnerabilidade no processamento de pacotes IKEv1. Consulte o site do Libreswan para obter instruções sobre como atualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2019-10155 is a vulnerability in Libreswan versions before 3.29 where integrity checks on IKEv1 informational exchange packets are not properly verified, potentially leading to information disclosure.
You are affected if you are using Libreswan versions prior to 3.29. Check your Libreswan version and upgrade if necessary.
Upgrade Libreswan to version 3.29 or later. If upgrading is not possible, consider disabling IKEv1 if it's not essential.
There is no public evidence of active exploitation of CVE-2019-10155 at this time.
Refer to the Libreswan security advisory: https://www.libreswan.org/security/advisories/cve-2019-10155
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.