Este informe identifica hosts que tienen un servicio IKE vulnerable accesible en Internet.
La vulnerabilidad está presente en el código de procesamiento de paquetes de Internet Key Exchange versión 1 (IKEv1) y afecta al software Cisco IOS, Cisco IOS XE y Cisco IOS XR. La vulnerabilidad se debe a comprobaciones de condición insuficientes en la parte del código que maneja las solicitudes de negociación de seguridad IKEv1. Un atacante podría aprovechar esta vulnerabilidad enviando un paquete IKEv1 diseñado a un dispositivo afectado configurado para aceptar solicitudes de negociación de seguridad IKEv1. Una explotación exitosa podría permitir que el atacante recupere el contenido de la memoria, lo que podría conducir a la divulgación de información confidencial.
Para obtener más información, consulte el Aviso de seguridad de Cisco .
Para obtener más información sobre los esfuerzos de escaneo, consulte la página de resumen de escaneo de Internet.
CAMPOS
| timestamp | Hora en que se sondeó la IP en UTC+0 |
| ip | La dirección IP del dispositivo en cuestión. |
| protocol | Protocolo en el que se produjo la respuesta (siempre UDP) |
| port | Puerto del que provino la respuesta (500/UDP) |
| hostname | Nombre DNS inverso del dispositivo en cuestión |
| tag | Siempre será vulnerable a isakmp |
| asn | ASN de donde reside el dispositivo en cuestión |
| geo | País donde reside el dispositivo en cuestión |
| region | Estado/Provincia/Región administrativa donde reside el dispositivo en cuestión |
| city | Ciudad en la que reside el dispositivo en cuestión |
| naics | Código del sistema de clasificación de la industria de América del Norte |
| sic | Código del sistema de clasificación industrial estándar |
| initiator_spi | SPI del iniciador del IKE_SA |
| responder_spi | SPI del respondedor del IKE_SA |
| next_payload | «¿Hay datos de carga útil presentes?» Este será «11» para «Payload Follows» |
| version | Versión IKE, será «10» (mapas a la versión 1.0) |
| exchange_type | El tipo de intercambio IKE: este será «5» que significa «informativo» |
| flags | Indicadores ISAKMP: este será «0» |
| message_id | El ID del mensaje, que es «0» |
| next_payload2 | Esto es lo mismo que el campo «next_payload», pero oculto en la carga útil a la que se refiere el «next_payload» original; será «0» para «ninguno» |
| domain_of_interpretation | Este será «0» para ISAKMP |
| protocol_id | Este será «0» para «reservado» |
| spi_size | Este será «0» |
Fuente: https://www.shadowserver.org/what-we-do/network-reporting/vulnerable-isakmp-report/