Falha de 15 anos no strongSwan permite derrubar VPNs via integer underflow

Uma falha antiga do strongSwan (CVE-2026-25075) voltou ao radar por permitir derrubar o daemon charon via integer underflow no plugin EAP‑TTLS. O bug permite DoS remoto e sem autenticação, derrubando serviços VPN baseados em IKEv2 — um risco direto para gateways expostos à internet.

Contexto: por que isso importa

• strongSwan é uma das implementações IPsec/IKE mais usadas em ambientes corporativos e appliances de firewall.
• EAP‑TTLS é comum em cenários enterprise por encapsular autenticação dentro de um túnel TLS.
• Como o ataque é sem autenticação, basta o gateway estar exposto para virar alvo.

O que aconteceu

• Bug no parser de AVPs do EAP‑TTLS causa underflow ao validar o tamanho do campo.
• Afeta versões 4.5.0 até 6.0.4 (corrigido no 6.0.5).

Detalhes técnicos (o “etc etc” que derruba tudo)

• AVPs com tamanho inválido (ex.: 0–7) levam a underflow de 32 bits.
• O parser não valida corretamente o tamanho antes de subtrair, gerando um valor enorme.
• Isso pode forçar alocação absurda de memória, resultando em resource exhaustion.
• Se a alocação falha, ocorre NULL pointer dereference e crash do charon.

Exploração e comportamento do crash

• Exploit é remoto e não exige autenticação.
• Pesquisadores descrevem um fluxo em duas fases: um pacote corrompe o heap e outro dispara o crash.
• Em alguns ambientes o daemon cai imediatamente; em outros, o crash aparece em uma requisição seguinte, dificultando diagnóstico.

Impacto prático

• Queda do serviço VPN (DoS) e interrupção de conexões ativas.
• Ambientes com VPN always‑on ou acesso remoto corporativo ficam vulneráveis a indisponibilidade.
• Possível efeito cascata: filas de autenticação travadas e reconexões em massa.

Quem está exposto

• Gateways com IKEv2 habilitado e EAP‑TTLS em uso.
• Instalações que permitem EAP‑TTLS para múltiplos clientes (especialmente em borda pública).

Mitigação imediata

• Atualizar para strongSwan 6.0.5+ (lançado em 23/03/2026).
• Desativar EAP‑TTLS se não for necessário.
• Restringir métodos EAP aceitos e endurecer políticas de autenticação.
• Aplicar rate‑limits e regras anti‑DoS no perímetro.

O que monitorar

• Logs do charon com crashes/restarts (segfault / null deref).
• Picos anormais de renegociação IKEv2.
• Quedas repetidas em horários de pico ou após bursts de autenticação.

Por que o patch é prioridade

• Vetor simples, remoto e sem credenciais.
• DoS em VPN é impacto operacional direto: equipe sem acesso remoto, falha em túnel site‑to‑site, incident response comprometida.

Fontes:

• https://www.strongswan.org/blog/2026/03/23/strongswan-vulnerability-(cve-2026-25075).html
• https://www.strongswan.org/blog/2026/03/23/strongswan-6.0.5-released.html
• https://nvd.nist.gov/vuln/detail/CVE-2026-25075
• https://www.securityweek.com/strongswan-flaw-allows-unauthenticated-attackers-to-crash-vpns/
• https://bishopfox.com/blog/strongswan-cve-2026-25075-integer-underflow-in-vpn-authentication