Este informe identifica hosts que tienen un servicio IKE vulnerable accesible en Internet.
La vulnerabilidad está presente en el código de procesamiento de paquetes de Internet Key Exchange versión 1 (IKEv1) y afecta al software Cisco IOS, Cisco IOS XE y Cisco IOS XR. La vulnerabilidad se debe a comprobaciones de condición insuficientes en la parte del código que maneja las solicitudes de negociación de seguridad IKEv1. Un atacante podría aprovechar esta vulnerabilidad enviando un paquete IKEv1 diseñado a un dispositivo afectado configurado para aceptar solicitudes de negociación de seguridad IKEv1. Una explotación exitosa podría permitir que el atacante recupere el contenido de la memoria, lo que podría conducir a la divulgación de información confidencial.
Para obtener más información, consulte el Aviso de seguridad de Cisco .
Para obtener más información sobre los esfuerzos de escaneo, consulte la página de resumen de escaneo de Internet.
CAMPOS
timestamp | Hora en que se sondeó la IP en UTC+0 |
ip | La dirección IP del dispositivo en cuestión. |
protocol | Protocolo en el que se produjo la respuesta (siempre UDP) |
port | Puerto del que provino la respuesta (500/UDP) |
hostname | Nombre DNS inverso del dispositivo en cuestión |
tag | Siempre será vulnerable a isakmp |
asn | ASN de donde reside el dispositivo en cuestión |
geo | País donde reside el dispositivo en cuestión |
region | Estado/Provincia/Región administrativa donde reside el dispositivo en cuestión |
city | Ciudad en la que reside el dispositivo en cuestión |
naics | Código del sistema de clasificación de la industria de América del Norte |
sic | Código del sistema de clasificación industrial estándar |
initiator_spi | SPI del iniciador del IKE_SA |
responder_spi | SPI del respondedor del IKE_SA |
next_payload | «¿Hay datos de carga útil presentes?» Este será «11» para «Payload Follows» |
version | Versión IKE, será «10» (mapas a la versión 1.0) |
exchange_type | El tipo de intercambio IKE: este será «5» que significa «informativo» |
flags | Indicadores ISAKMP: este será «0» |
message_id | El ID del mensaje, que es «0» |
next_payload2 | Esto es lo mismo que el campo «next_payload», pero oculto en la carga útil a la que se refiere el «next_payload» original; será «0» para «ninguno» |
domain_of_interpretation | Este será «0» para ISAKMP |
protocol_id | Este será «0» para «reservado» |
spi_size | Este será «0» |
Fuente: https://www.shadowserver.org/what-we-do/network-reporting/vulnerable-isakmp-report/