半年に1度のCiscoパッチの日:アドバイザリ7件、主にIOSに影響 2010年3月25日
半年に1度のCiscoパッチの日: DoSアドバイザリ7件、主にIOSに影響
危険度: 高
2010年3月25日
概要:
詳細:
Ciscoは3月と9月の第4水曜日に行われる半年に一度のパッチの日の一部として、米国時間の3月24日にセキュリティアドバイザリを7件リリースした。今回のアドバイザリはすべてサービス拒否に関するセキュリティ問題について取り上げており、主にCiscoのインターネットワーク・オペレーティング・システム(IOS)ソフトウェアを使用しているデバイスに影響している。IOSは大方のCiscoルーターで使用されているオペレーティング・システムであるが、攻撃者はIOS DoS欠陥の1つを利用し、ユーザのIOSデバイスでコードを実行、そのデバイスを操作できるようになるおそれがある。しかしアドバイザリのうち1件は、CiscoエンタープライズレベルのIPテレフォニー・コール処理システムである、ユニファイド・コミュニケーションズ・マネジャー(UCM)に見られるDoSについても取り上げている。 CiscoのIOSアドバイザリは、それぞれ技術的には異なるが、アドバイザリはいずれも攻撃者がサービス拒否(DoS)攻撃で悪用できる脆弱性について説明している。今回リリースされたCiscoのアドバイザリ一覧については3月24日付のCiscoアドバイザリ、又はセキュリティアドバイザリのページを参照することをすすめる。
IOSアドバイザリのうち、3つの欠陥の概要については下記を参照することをすすめる:
Cisco ドキュメントID 111448:
IOS SIP DoS とコード実行の脆弱性
セッション・イニシエーション・プロトコル(SIP)は、IPネットワーク上のボイスやビデオコールに使われるマルチメディア・コミュニケーション・スタンダードである。SIPを実装しているIOSは、SIPメッセージを処理する方法に関与する未特定の脆弱性の影響を受けている。細工したSIPパケットを送信することで、リモート攻撃者は脆弱性を悪用してユーザのIOSデバイスをリロードさせたり、そのデバイスでコードを実行する可能性がある。インターネットに接続するためにCisco IOSルータを使用している場合、攻撃者はユーザのネットワークがオフラインになるまで脆弱性を繰り返し悪用する可能性がある。又、攻撃者がコードを実行するとユーザのIOSデバイスを攻撃者が完全に操作できるようになるおそれもある。
CVSS スコア:10
Cisco ドキュメントID 111265:
IOS H.323 DoSの脆弱性
H.323は、ネットワーク上でマルチメディアをストリームできるようにデザインされたプロトコルで、ビデオ会議などによく使われる。H.323を実装したIOSは、H.323トラフィックの処理に関与する未特定の脆弱性2件の影響を受けている。細工したH.323パケットを送信することで、リモート攻撃者は脆弱性を悪用してユーザのIOSデバイスをリロードさせる可能性がある。インターネットに接続するためにCisco IOSルータを使用している場合、攻撃者はユーザのネットワークがオフラインになるまで、脆弱性を繰り返し悪用する可能性がある。
CVSS スコア:7.8 (最も深刻=10)
Cisco ドキュメントID 111266:
IOS IPSec DoSの脆弱性
VPN スタンダードのIPSec は、インターネット上でプライベート・コミュニケーションを安全にトンネルできるようにデザインされている。IOSのIPsec実装は、細工されたIPsec IKE パケットを処理する方法に関与する欠陥の影響を受けており、攻撃者は細工したIKEパケットをCiscoデバイスに送信することで脆弱性を悪用し、ユーザのIOSデバイスをリロードできるようになる可能性がある。ユーザがインターネットに接続するためにCisco IOSルータを使用している場合、攻撃者はユーザのネットワークがオフラインになるまで、脆弱性を繰り返し悪用する可能性もある。
CVSS スコア:7.8
その他のアドバイザリも上記の問題と同等に深刻なDos欠陥を修正している。Ciscoが公開した3月分の脆弱性の詳細については、このアラートの「参考資料」でリストに挙げた各アドバイザリのリンクを参照に、もしくはCiscoの2010年3月のセキュリティ・アドバイザリを参考にすることをすすめる。 Ciscoはユニファイド・コミュニケーションズ・マネージャー(UCM)に見られるDoS脆弱性について説明したアドバイザリ もリリースしている。Cisco UCMを使用している場合は、このパッチも必ず導入することをすすめる。
対策:
Ciscoはこうした脆弱性を修正するパッチをリリースしている。IOSソフトウェアや、Ciscoのユニファイド・コミュニケーションズ・マネージャー(UCM)を実行しているCiscoデバイスを使用している場合は、Ciscoの2010年3月のセキュリティアドバイザリにある「Software Versions and Fixes」や「Obtaining Fixed Software」を参考にし、状況に適したフィックスを探してその入手先を調べること。また、下記のリンク先から各アラートを参照し「Software Versions and Fixes」や「Obtaining Fixed Software」の欄を参考にする方法もある。
ウォッチガード・ユーザ:
こうした脆弱性は、通常WatchGuardファイアウォールの前に設置するルーターに影響を及ぼすため、上記した方法を取ることが主な対策となる。
ステータス:
Ciscoはこの問題の修正方法を提供している。
参考資料:
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
危険度: 高
2010年3月25日
概要:
- 対象:
Cisco IOSやCisco UCMを使用しているデバイス
- 攻撃方法:
様々な攻撃方法があるが、最も一般的に見られるのは細工したネットワーク・パケットを送信する方法である
- 影響:
サービス拒否(DoS)問題は、Ciscoデバイスがクラッシュしたり、リロードまたは中断させたりすることができる。攻撃者がコードを実行できるようにする可能性もある。
- 対策:
Cisco IOSやUCMデバイスを管理している場合は、出来る限り早急に状況に適したCiscoのアップデートをダウンロードしテストしてから、それを適用することをすすめる
詳細:
Ciscoは3月と9月の第4水曜日に行われる半年に一度のパッチの日の一部として、米国時間の3月24日にセキュリティアドバイザリを7件リリースした。今回のアドバイザリはすべてサービス拒否に関するセキュリティ問題について取り上げており、主にCiscoのインターネットワーク・オペレーティング・システム(IOS)ソフトウェアを使用しているデバイスに影響している。IOSは大方のCiscoルーターで使用されているオペレーティング・システムであるが、攻撃者はIOS DoS欠陥の1つを利用し、ユーザのIOSデバイスでコードを実行、そのデバイスを操作できるようになるおそれがある。しかしアドバイザリのうち1件は、CiscoエンタープライズレベルのIPテレフォニー・コール処理システムである、ユニファイド・コミュニケーションズ・マネジャー(UCM)に見られるDoSについても取り上げている。 CiscoのIOSアドバイザリは、それぞれ技術的には異なるが、アドバイザリはいずれも攻撃者がサービス拒否(DoS)攻撃で悪用できる脆弱性について説明している。今回リリースされたCiscoのアドバイザリ一覧については3月24日付のCiscoアドバイザリ、又はセキュリティアドバイザリのページを参照することをすすめる。
IOSアドバイザリのうち、3つの欠陥の概要については下記を参照することをすすめる:
Cisco ドキュメントID 111448:
IOS SIP DoS とコード実行の脆弱性
セッション・イニシエーション・プロトコル(SIP)は、IPネットワーク上のボイスやビデオコールに使われるマルチメディア・コミュニケーション・スタンダードである。SIPを実装しているIOSは、SIPメッセージを処理する方法に関与する未特定の脆弱性の影響を受けている。細工したSIPパケットを送信することで、リモート攻撃者は脆弱性を悪用してユーザのIOSデバイスをリロードさせたり、そのデバイスでコードを実行する可能性がある。インターネットに接続するためにCisco IOSルータを使用している場合、攻撃者はユーザのネットワークがオフラインになるまで脆弱性を繰り返し悪用する可能性がある。又、攻撃者がコードを実行するとユーザのIOSデバイスを攻撃者が完全に操作できるようになるおそれもある。
CVSS スコア:10
Cisco ドキュメントID 111265:
IOS H.323 DoSの脆弱性
H.323は、ネットワーク上でマルチメディアをストリームできるようにデザインされたプロトコルで、ビデオ会議などによく使われる。H.323を実装したIOSは、H.323トラフィックの処理に関与する未特定の脆弱性2件の影響を受けている。細工したH.323パケットを送信することで、リモート攻撃者は脆弱性を悪用してユーザのIOSデバイスをリロードさせる可能性がある。インターネットに接続するためにCisco IOSルータを使用している場合、攻撃者はユーザのネットワークがオフラインになるまで、脆弱性を繰り返し悪用する可能性がある。
CVSS スコア:7.8 (最も深刻=10)
Cisco ドキュメントID 111266:
IOS IPSec DoSの脆弱性
VPN スタンダードのIPSec は、インターネット上でプライベート・コミュニケーションを安全にトンネルできるようにデザインされている。IOSのIPsec実装は、細工されたIPsec IKE パケットを処理する方法に関与する欠陥の影響を受けており、攻撃者は細工したIKEパケットをCiscoデバイスに送信することで脆弱性を悪用し、ユーザのIOSデバイスをリロードできるようになる可能性がある。ユーザがインターネットに接続するためにCisco IOSルータを使用している場合、攻撃者はユーザのネットワークがオフラインになるまで、脆弱性を繰り返し悪用する可能性もある。
CVSS スコア:7.8
その他のアドバイザリも上記の問題と同等に深刻なDos欠陥を修正している。Ciscoが公開した3月分の脆弱性の詳細については、このアラートの「参考資料」でリストに挙げた各アドバイザリのリンクを参照に、もしくはCiscoの2010年3月のセキュリティ・アドバイザリを参考にすることをすすめる。 Ciscoはユニファイド・コミュニケーションズ・マネージャー(UCM)に見られるDoS脆弱性について説明したアドバイザリ もリリースしている。Cisco UCMを使用している場合は、このパッチも必ず導入することをすすめる。
対策:
Ciscoはこうした脆弱性を修正するパッチをリリースしている。IOSソフトウェアや、Ciscoのユニファイド・コミュニケーションズ・マネージャー(UCM)を実行しているCiscoデバイスを使用している場合は、Ciscoの2010年3月のセキュリティアドバイザリにある「Software Versions and Fixes」や「Obtaining Fixed Software」を参考にし、状況に適したフィックスを探してその入手先を調べること。また、下記のリンク先から各アラートを参照し「Software Versions and Fixes」や「Obtaining Fixed Software」の欄を参考にする方法もある。
ウォッチガード・ユーザ:
こうした脆弱性は、通常WatchGuardファイアウォールの前に設置するルーターに影響を及ぼすため、上記した方法を取ることが主な対策となる。
ステータス:
Ciscoはこの問題の修正方法を提供している。
参考資料:
- Cisco 2010年3月のバンドル・セキュリティアドバイザリ
- Cisco IOS Software H.323 Denial of Service Vulnerability
- Cisco IOS Software IPsec DoS Vulnerability
- Cisco IOS Software Session Initiation Protocol Denial of Service Vulnerabilities
- Cisco IOS Software Multiprotocol Label Switching Packet Vulnerability
- Cisco IOS Software Crafted TCP Packet Denial of Service Vulnerability
- Cisco IOS Software NAT Skinny Call Control Protocol Vulnerability
- Cisco Unified Communications Manager Express Denial of Service Vulnerabilities
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。