Falha de 15 anos no strongSwan permite derrubar VPNs via integer underflow
CVE-2026-25075 no strongSwan: integer underflow no EAP-TTLS pode derrubar VPNs via DoS. Bug a
Uma falha antiga do strongSwan (CVE-2026-25075) voltou ao radar por permitir derrubar o daemon charon via integer underflow no plugin EAP‑TTLS. O bug permite DoS remoto e sem autenticação, derrubando serviços VPN baseados em IKEv2 — um risco direto para gateways expostos à internet.
Contexto: por que isso importa
- strongSwan é uma das implementações IPsec/IKE mais usadas em ambientes corporativos e appliances de firewall.
- EAP‑TTLS é comum em cenários enterprise por encapsular autenticação dentro de um túnel TLS.
- Como o ataque é sem autenticação, basta o gateway estar exposto para virar alvo.
O que aconteceu
- Bug no parser de AVPs do EAP‑TTLS causa underflow ao validar o tamanho do campo.
- Afeta versões 4.5.0 até 6.0.4 (corrigido no 6.0.5).
Detalhes técnicos (o “etc etc” que derruba tudo)
- AVPs com tamanho inválido (ex.: 0–7) levam a underflow de 32 bits.
- O parser não valida corretamente o tamanho antes de subtrair, gerando um valor enorme.
- Isso pode forçar alocação absurda de memória, resultando em resource exhaustion.
- Se a alocação falha, ocorre NULL pointer dereference e crash do charon.
Exploração e comportamento do crash
- Exploit é remoto e não exige autenticação.
- Pesquisadores descrevem um fluxo em duas fases: um pacote corrompe o heap e outro dispara o crash.
- Em alguns ambientes o daemon cai imediatamente; em outros, o crash aparece em uma requisição seguinte, dificultando diagnóstico.
Impacto prático
- Queda do serviço VPN (DoS) e interrupção de conexões ativas.
- Ambientes com VPN always‑on ou acesso remoto corporativo ficam vulneráveis a indisponibilidade.
- Possível efeito cascata: filas de autenticação travadas e reconexões em massa.
Quem está exposto
- Gateways com IKEv2 habilitado e EAP‑TTLS em uso.
- Instalações que permitem EAP‑TTLS para múltiplos clientes (especialmente em borda pública).
Mitigação imediata
- Atualizar para strongSwan 6.0.5+ (lançado em 23/03/2026).
- Desativar EAP‑TTLS se não for necessário.
- Restringir métodos EAP aceitos e endurecer políticas de autenticação.
- Aplicar rate‑limits e regras anti‑DoS no perímetro.
O que monitorar
- Logs do charon com crashes/restarts (segfault / null deref).
- Picos anormais de renegociação IKEv2.
- Quedas repetidas em horários de pico ou após bursts de autenticação.
Por que o patch é prioridade
- Vetor simples, remoto e sem credenciais.
- DoS em VPN é impacto operacional direto: equipe sem acesso remoto, falha em túnel site‑to‑site, incident response comprometida.
Fontes:
- https://www.strongswan.org/blog/2026/03/23/strongswan-vulnerability-(cve-2026-25075).html
- https://www.strongswan.org/blog/2026/03/23/strongswan-6.0.5-released.html
- https://nvd.nist.gov/vuln/detail/CVE-2026-25075
- https://www.securityweek.com/strongswan-flaw-allows-unauthenticated-attackers-to-crash-vpns/
- https://bishopfox.com/blog/strongswan-cve-2026-25075-integer-underflow-in-vpn-authentication
