Categories: ALERTAS

Falha de 15 anos no strongSwan permite derrubar VPNs via integer underflow

Uma falha antiga do strongSwan (CVE-2026-25075) voltou ao radar por permitir derrubar o daemon charon via integer underflow no plugin EAP‑TTLS. O bug permite DoS remoto e sem autenticação, derrubando serviços VPN baseados em IKEv2 — um risco direto para gateways expostos à internet.

Contexto: por que isso importa

  • strongSwan é uma das implementações IPsec/IKE mais usadas em ambientes corporativos e appliances de firewall.
  • EAP‑TTLS é comum em cenários enterprise por encapsular autenticação dentro de um túnel TLS.
  • Como o ataque é sem autenticação, basta o gateway estar exposto para virar alvo.

O que aconteceu

  • Bug no parser de AVPs do EAP‑TTLS causa underflow ao validar o tamanho do campo.
  • Afeta versões 4.5.0 até 6.0.4 (corrigido no 6.0.5).

Detalhes técnicos (o “etc etc” que derruba tudo)

  • AVPs com tamanho inválido (ex.: 0–7) levam a underflow de 32 bits.
  • O parser não valida corretamente o tamanho antes de subtrair, gerando um valor enorme.
  • Isso pode forçar alocação absurda de memória, resultando em resource exhaustion.
  • Se a alocação falha, ocorre NULL pointer dereference e crash do charon.

Exploração e comportamento do crash

  • Exploit é remoto e não exige autenticação.
  • Pesquisadores descrevem um fluxo em duas fases: um pacote corrompe o heap e outro dispara o crash.
  • Em alguns ambientes o daemon cai imediatamente; em outros, o crash aparece em uma requisição seguinte, dificultando diagnóstico.

Impacto prático

  • Queda do serviço VPN (DoS) e interrupção de conexões ativas.
  • Ambientes com VPN always‑on ou acesso remoto corporativo ficam vulneráveis a indisponibilidade.
  • Possível efeito cascata: filas de autenticação travadas e reconexões em massa.

Quem está exposto

  • Gateways com IKEv2 habilitado e EAP‑TTLS em uso.
  • Instalações que permitem EAP‑TTLS para múltiplos clientes (especialmente em borda pública).

Mitigação imediata

  • Atualizar para strongSwan 6.0.5+ (lançado em 23/03/2026).
  • Desativar EAP‑TTLS se não for necessário.
  • Restringir métodos EAP aceitos e endurecer políticas de autenticação.
  • Aplicar rate‑limits e regras anti‑DoS no perímetro.

O que monitorar

  • Logs do charon com crashes/restarts (segfault / null deref).
  • Picos anormais de renegociação IKEv2.
  • Quedas repetidas em horários de pico ou após bursts de autenticação.

Por que o patch é prioridade

  • Vetor simples, remoto e sem credenciais.
  • DoS em VPN é impacto operacional direto: equipe sem acesso remoto, falha em túnel site‑to‑site, incident response comprometida.

Fontes:

  • https://www.strongswan.org/blog/2026/03/23/strongswan-vulnerability-(cve-2026-25075).html
  • https://www.strongswan.org/blog/2026/03/23/strongswan-6.0.5-released.html
  • https://nvd.nist.gov/vuln/detail/CVE-2026-25075
  • https://www.securityweek.com/strongswan-flaw-allows-unauthenticated-attackers-to-crash-vpns/
  • https://bishopfox.com/blog/strongswan-cve-2026-25075-integer-underflow-in-vpn-authentication
TheNinja

Recent Posts

Citrix corrige seis falhas no NetScaler, incluindo nova CitrixBleed (CVE-2026-8451) e HTTP/2 Bomb descoberto pelo Codex

Boletim emergencial da Citrix traz correções para info-leak estilo CitrixBleed no parser XML do NetScaler…

8 horas ago

Nissan confirma vazamento de dados de funcionários após zero-day CVE-2026-35273 no Oracle PeopleSoft

Montadora expõe SSNs, dados bancários e fiscais de empregados nos EUA, Canadá, México e Brasil…

8 horas ago

DeepSeek gera ransomware que roda dentro do Chrome e criptografa arquivos via File System Access API

Check Point identifica primeiro caso documentado em que uma IA de fronteira, sozinha, transformou risco…

8 horas ago

Vazamento da Aflac Japão atinge 4,38 milhões de clientes após dez dias de acesso indevido ao portal de apólices

A subsidiária japonesa da Aflac confirmou em filing à SEC que invasores acessaram o portal…

1 dia ago

Pesquisadores expõem seis falhas no AirDrop e Quick Share que afetam mais de 5 bilhões de dispositivos Apple, Google e Samsung

Estudo do CISPA revela três crashes no AirDrop e três bypasses lógicos no Quick Share…

1 dia ago

Hackers exploram falha máxima no SimpleHelp (CVE-2026-48558) para implantar TaskWeaver e Djinn Stealer em ambientes RMM

Atacantes desconhecidos abusam de falha crítica (CVSS 10.0) no fluxo OIDC do SimpleHelp para criar…

1 dia ago