CERT Coordination Center (CERT/CC, Carnegie Mellon University)は2020年6月3日(米国時間)、「VU#636397 - IP-in-IP protocol routes arbitrary traffic by default」において、IP-in-IPプロトコル(RFC2003 IP-in-IP)に脆弱性が存在すると伝えた。この脆弱性を悪用されると、認証されていないユーザーによって任意のネットワークトラフィックのルーティングが可能になり、その結果、リフレクション攻撃(DrDoS: Distributed Reflection Denial of Service attack)、情報漏洩、ネットワークアクセス制御のバイパスなどを実施される危険性がある。

VU#636397 - IP-in-IP protocol routes arbitrary traffic by default

脆弱性が存在するとされるプロダクトを提供しているベンダーの情報は前述したCERT/CCのページにまとまっている。日本のベンダーに関しては、次のページに情報が掲載されている。

JVNTA#90492923: IP-in-IP プロトコルによる IP トンネリングが悪用され任意の宛先にパケットが送信される問題

脆弱性が存在するかどうかを確認するためのツールが公開されており、次のページから入手できる。

PoC-Exploits/cve-2020-10136 at master · CERTCC/PoC-Exploits

ベンダーからアップデートが提供されている場合はアップデートの適用を、そうでない場合でもIP-in-IPを無効化することで対処できる。CERT/CCは必要に応じてアップデートを適用や対策の実施を呼びかけている。