半年に1度のCiscoパッチの日:IOSとUCMのアドバイザリ11件 2009年9月25日
半年に1度のCiscoパッチの日:
IOS とUCMのアドバイザリ11件
危険度: 高
2009年9月23日
【概要】
【詳細】
Ciscoは、毎年3月と9月の第4水曜日の年2回にパッチ・サイクルを導入するとしているが、その予定通りに11件のセキュリティアドバイザリを公表した。今回発表されたアドバイザリは、大方Ciscoのインターネットワーク・オペレーティング・システム(IOS)ソフトウェアを使用しているデバイスに影響するセキュリティ問題について取り上げている。IOSは大方のCiscoルーターやスイッチで使われているオペレーティング・システムである。
公開されたアドバイザリ11件のうち2件は、CiscoエンタープライズレベルのIPテレフォニー・コール処理システムのユニファイド・コミュニケーションズ・マネージャ(UCM)に見られる脆弱性についても取り上げている。
CiscoのIOSアドバイザリはどれも技術的には異なるが、2件を除いたその他アドバイザリでは、攻撃者がサービス拒否(DoS)攻撃で悪用可能な全脆弱性について説明している。その他の欠陥はアクセス制御リスト(ACL)バイパスの脆弱性や、認証バイパスの脆弱性に関与している。今回リリースされたCiscoのアドバイザリ一覧については、9月23日付のCiscoアドバイザリ又はセキュリティアドバイザリのページを、またIOSアドバイザリの中から取り上げた3つの欠陥の概要については、下記を参照すること。
Cisco ドキュメントID 110396: IOS H.323 DoSの脆弱性 H.323は、ネットワーク上でマルチメディアをストリームするようにデザインされたプロトコルで、ビデオ会議などによく使われる。H.323を実装したIOSは、H.323トラフィック処理に関与する未特定の脆弱性の影響を受けている。リモート攻撃者は、細工したH.323パケットを送信することでこの脆弱性を悪用し、ユーザのIOSデバイスをリロードさせる可能性がある。インターネットに接続するためにCisco IOSルータを使用している場合は、ユーザのネットワークがオフラインになるまで、攻撃者がこの脆弱性を繰り返し悪用する可能性もある。
Base CVSS Score: 7.8 (最も深刻=10)
Cisco ドキュメントID 110447: IOS NTP DoSの脆弱性 ネットワーク・タイム・プロトコル(NTP)は、ネットワーク上でコンピュータの時計の同期化に役立つようデザインされたスタンダードである。IOSは、NTPv4トラフィックを処理する方法に関与する未特定の脆弱性の影響を受けている。細工したNTPパケットをCiscoデバイスに送信することで、攻撃者はこの脆弱性を悪用してユーザのIOSデバイスをリロードできるようになる可能性がある。インターネットに接続するためにCisco IOSルータを使用している場合は、ユーザのネットワークがオフラインになるまで攻撃者がこの脆弱性を繰り返し悪用する可能性もある。
Base CVSS Score: 7.8
Cisco ドキュメントID 110478: IOS認証プロキシ・バイパスの脆弱性 Ciscoの認証プロキシはユーザがインターネットにアクセスする際、ウェブベース認証を強制することで管理者がユーザベースでポリシーを適用できるようにする。管理者はこの機能を使い、特定のネットワーク・リソースにユーザがアクセスする前に同意書を表示するページでユーザが同意しなければならないようにすることもできる。しかし、この認証プロキシは複雑なレース・コンディションの脆弱性の影響を受けている。攻撃者がちょうどいい時間と状況でCiscoデバイスに認証すると使用するクレデンシャルにかかわらず、攻撃者はこの欠陥を悪用し前回認証したユーザとして認証することが可能になる。このため、攻撃者は基本的に認証プロセスをバイパスでき、強制されている同意書のページを飛ばすことができる。
Base CVSS Score: 7.1
その他のアドバイザリは上記の問題と同等に深刻なDos欠陥を修正している。Ciscoが公開した9月の脆弱性詳細については、このアラートの「参考資料」でリストに挙げた各アドバイザリのリンクを参照するか、Ciscoの2009年9月のセキュリティ・アドバイザリを参考にすることをすすめる。
Ciscoはユニファイド・コミュニケーションズ・マネージャ(UCM)に見られる脆弱性について説明したアドバイザリを2件公開している。アドバイザリにはコード実行の危険性の高い脆弱性、そしてDoS欠陥も入っている。Cisco UCMを使用している場合は、このパッチも必ず導入すること。
【対策】
Ciscoはこうした脆弱性を修正するパッチをリリースしている。IOSソフトウェアや、Ciscoのユニファイド・コミュニケーションズ・マネージャ(UCM)を実行しているCiscoデバイスを使っている場合は、Ciscoの2009年9月のセキュリティアドバイザリにある「Software Versions and Fixes」や「Obtaining Fixed Software」を参考にし、状況に適したフィックスを探してその入手先を調べること。また、下記のリンク先から各アラートを参照し「Software Versions and Fixes」や「Obtaining Fixed Software」の欄を参考にする方法もある。
【ウォッチガード・ユーザ】
こうした脆弱性は、通常WatchGuardファイアウォールの前に設置するルーターに影響を及ぼすため上記した方法を取ることが主な対策となる。
【ステータス】
Ciscoはこの問題の修正方法を提供している。
【参考資料】
(英文のみ)
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
危険度: 高
2009年9月23日
【概要】
- 対象:
Cisco IOSやCiscoのユニファイド・コミュニケーションズ・マネージャ(UCM)を使用しているデバイス
- 攻撃方法:
様々な攻撃方法があるが、最も一般的に見られるのは細工したネットワーク・パケットを送信する方法である
- 影響:
サービス拒否(DoS)問題やアクセス・コントロール、認証バイパスの脆弱性など様々な結果がある
- 対策:
Cisco IOSやUCMデバイスを管理している場合は、出来る限り早急に状況に適したCiscoのアップデートをダウンロードし、テストしてから適用することをすすめる
【詳細】
Ciscoは、毎年3月と9月の第4水曜日の年2回にパッチ・サイクルを導入するとしているが、その予定通りに11件のセキュリティアドバイザリを公表した。今回発表されたアドバイザリは、大方Ciscoのインターネットワーク・オペレーティング・システム(IOS)ソフトウェアを使用しているデバイスに影響するセキュリティ問題について取り上げている。IOSは大方のCiscoルーターやスイッチで使われているオペレーティング・システムである。
公開されたアドバイザリ11件のうち2件は、CiscoエンタープライズレベルのIPテレフォニー・コール処理システムのユニファイド・コミュニケーションズ・マネージャ(UCM)に見られる脆弱性についても取り上げている。
CiscoのIOSアドバイザリはどれも技術的には異なるが、2件を除いたその他アドバイザリでは、攻撃者がサービス拒否(DoS)攻撃で悪用可能な全脆弱性について説明している。その他の欠陥はアクセス制御リスト(ACL)バイパスの脆弱性や、認証バイパスの脆弱性に関与している。今回リリースされたCiscoのアドバイザリ一覧については、9月23日付のCiscoアドバイザリ又はセキュリティアドバイザリのページを、またIOSアドバイザリの中から取り上げた3つの欠陥の概要については、下記を参照すること。
Cisco ドキュメントID 110396: IOS H.323 DoSの脆弱性 H.323は、ネットワーク上でマルチメディアをストリームするようにデザインされたプロトコルで、ビデオ会議などによく使われる。H.323を実装したIOSは、H.323トラフィック処理に関与する未特定の脆弱性の影響を受けている。リモート攻撃者は、細工したH.323パケットを送信することでこの脆弱性を悪用し、ユーザのIOSデバイスをリロードさせる可能性がある。インターネットに接続するためにCisco IOSルータを使用している場合は、ユーザのネットワークがオフラインになるまで、攻撃者がこの脆弱性を繰り返し悪用する可能性もある。
Base CVSS Score: 7.8 (最も深刻=10)
Cisco ドキュメントID 110447: IOS NTP DoSの脆弱性 ネットワーク・タイム・プロトコル(NTP)は、ネットワーク上でコンピュータの時計の同期化に役立つようデザインされたスタンダードである。IOSは、NTPv4トラフィックを処理する方法に関与する未特定の脆弱性の影響を受けている。細工したNTPパケットをCiscoデバイスに送信することで、攻撃者はこの脆弱性を悪用してユーザのIOSデバイスをリロードできるようになる可能性がある。インターネットに接続するためにCisco IOSルータを使用している場合は、ユーザのネットワークがオフラインになるまで攻撃者がこの脆弱性を繰り返し悪用する可能性もある。
Base CVSS Score: 7.8
Cisco ドキュメントID 110478: IOS認証プロキシ・バイパスの脆弱性 Ciscoの認証プロキシはユーザがインターネットにアクセスする際、ウェブベース認証を強制することで管理者がユーザベースでポリシーを適用できるようにする。管理者はこの機能を使い、特定のネットワーク・リソースにユーザがアクセスする前に同意書を表示するページでユーザが同意しなければならないようにすることもできる。しかし、この認証プロキシは複雑なレース・コンディションの脆弱性の影響を受けている。攻撃者がちょうどいい時間と状況でCiscoデバイスに認証すると使用するクレデンシャルにかかわらず、攻撃者はこの欠陥を悪用し前回認証したユーザとして認証することが可能になる。このため、攻撃者は基本的に認証プロセスをバイパスでき、強制されている同意書のページを飛ばすことができる。
Base CVSS Score: 7.1
その他のアドバイザリは上記の問題と同等に深刻なDos欠陥を修正している。Ciscoが公開した9月の脆弱性詳細については、このアラートの「参考資料」でリストに挙げた各アドバイザリのリンクを参照するか、Ciscoの2009年9月のセキュリティ・アドバイザリを参考にすることをすすめる。
Ciscoはユニファイド・コミュニケーションズ・マネージャ(UCM)に見られる脆弱性について説明したアドバイザリを2件公開している。アドバイザリにはコード実行の危険性の高い脆弱性、そしてDoS欠陥も入っている。Cisco UCMを使用している場合は、このパッチも必ず導入すること。
【対策】
Ciscoはこうした脆弱性を修正するパッチをリリースしている。IOSソフトウェアや、Ciscoのユニファイド・コミュニケーションズ・マネージャ(UCM)を実行しているCiscoデバイスを使っている場合は、Ciscoの2009年9月のセキュリティアドバイザリにある「Software Versions and Fixes」や「Obtaining Fixed Software」を参考にし、状況に適したフィックスを探してその入手先を調べること。また、下記のリンク先から各アラートを参照し「Software Versions and Fixes」や「Obtaining Fixed Software」の欄を参考にする方法もある。
【ウォッチガード・ユーザ】
こうした脆弱性は、通常WatchGuardファイアウォールの前に設置するルーターに影響を及ぼすため上記した方法を取ることが主な対策となる。
【ステータス】
Ciscoはこの問題の修正方法を提供している。
【参考資料】
(英文のみ)
- Cisco Bundled September 2009 Security Advisory
- Cisco Unified Communications Manager Express Vulnerability
- Cisco IOS Software Internet Key Exchange Resource Exhaustion Vulnerability
- Cisco IOS Software Tunnels Vulnerability
- Cisco IOS Software Object-group Access Control List Bypass Vulnerability
- Cisco Unified Communications Manager Session Initiation Protocol Denial of Service Vulnerability
- Cisco IOS Software H.323 Denial of Service Vulnerability
- Cisco IOS Software Session Initiation Protocol Denial of Service Vulnerability
- Cisco IOS Software Crafted Encryption Packet Denial of Service Vulnerability
- Cisco IOS Software Authentication Proxy Vulnerability
- Cisco IOS Software Zone-Based Policy Firewall Vulnerability
- Cisco
IOS Software Network Time Protocol Packet Vulnerability
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。