年2回のCiscoパッチの日:11件のIOSアドバイザリについて 2008年9月24日
年2回のCiscoパッチの日:11件のIOSアドバイザリについて
危険度: 高
2008年9月24日
【概要】
対象:
Cisco IOSを使用しているディバイスやCiscoのUnified Call Manager
悪用方法:
攻撃方法は様々だが、攻撃者が細工したネットワーク・パケットを送信する方法がよく見られる。
影響:
主にサービス拒否(DoS)問題、データ漏えい問題、または攻撃者がCisco uBR10012を完全に操作できる欠陥など様々な影響がある。
対策:
Cisco IOSの管理者は、状況に適したCiscoアップデートをできる限り早急にダウンロードし、テストしてから導入することをすすめる。
【詳細】
半年前に、Ciscoは毎年3月と9月の第4水曜日に年2回のパッチの日を設けると発表した。そのCiscoパッチの日の第2回目である9月24日に、同社は12件のセキュリティ・アドバイザリをリリースした。そのうち11件のアドバイザリは、Ciscoルーターやスイッチで使われているオペレーティング・システム[Internetwork Operating System (IOS)]を使用しているデバイスを対象にしたセキュリティ問題について説明している。もっとも深刻なIOS脆弱性2件は、主に通信事業者やISPのみに使用されているCiscoの10000とuBR10012、uBR7200に関連している。また、IOS以外の問題(1件)はCisco's Unified Communication Managerに影響を与えている。CiscoのIOSアドバイザリはそれぞれ技術的に異なるが、攻撃者がサービス拒否攻撃を悪用できるようにする脆弱性については、ほぼすべてのアドバイザリが取り上げている。とは言っても、もっとも悪質な欠陥は攻撃者がCiscoディバイスを完全に操作できるように許可してしまうものだが、それは主にISPで見られるCiscoのuBR10012 ディバイスに影響を及ぼしている。中小企業(SMB)の大方の管理者は、ISPグレードのディバイスに影響のないIOSアップデートだけを懸念しているため、ここでは主にそうした脆弱性を取り上げることにする。
IOSアドバイザリ3件の概要については次を参照:
この他9件のアドバイザリには、先に解説した脆弱性と同等またはそれ以上に深刻な問題を修正しているものがいくつもある。Ciscoがリリースした9月分のアドバイザリ詳細については、参考資料の欄でリストに挙げた各アドバイザリのリンクをチェックするか、Ciscoのbundled security advisory for September 2008を参照することを勧める。
【対策】
Ciscoはこうした脆弱性を修正するためにパッチをリリースしている。IOSソフトウェアを使っているCiscoを利用している場合は、Ciscoの2008年9月分のセキュリティ・アドバイザリ「Software Versions and Fixes」 および「Obtaining Fixed Software」を参照し、状況に適したフィックスを探し、その入手先について調べること。アドバイザリのリンクは下記のリンク集を参照。
ウォッチガード・ユーザ対象:
こうした脆弱性は、通常WatchGuardファイアウォールの前に設置するルーターに影響を及ぼすため対応パッチをインストールすることが主な対策となる。
【ステータス】
Ciscoはこの問題に対応するフィックスを提供している。
【参考資料】
(英文記事)
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査され書かれた記事です。
危険度: 高
2008年9月24日
【概要】
対象:
Cisco IOSを使用しているディバイスやCiscoのUnified Call Manager
悪用方法:
攻撃方法は様々だが、攻撃者が細工したネットワーク・パケットを送信する方法がよく見られる。
影響:
主にサービス拒否(DoS)問題、データ漏えい問題、または攻撃者がCisco uBR10012を完全に操作できる欠陥など様々な影響がある。
対策:
Cisco IOSの管理者は、状況に適したCiscoアップデートをできる限り早急にダウンロードし、テストしてから導入することをすすめる。
【詳細】
半年前に、Ciscoは毎年3月と9月の第4水曜日に年2回のパッチの日を設けると発表した。そのCiscoパッチの日の第2回目である9月24日に、同社は12件のセキュリティ・アドバイザリをリリースした。そのうち11件のアドバイザリは、Ciscoルーターやスイッチで使われているオペレーティング・システム[Internetwork Operating System (IOS)]を使用しているデバイスを対象にしたセキュリティ問題について説明している。もっとも深刻なIOS脆弱性2件は、主に通信事業者やISPのみに使用されているCiscoの10000とuBR10012、uBR7200に関連している。また、IOS以外の問題(1件)はCisco's Unified Communication Managerに影響を与えている。CiscoのIOSアドバイザリはそれぞれ技術的に異なるが、攻撃者がサービス拒否攻撃を悪用できるようにする脆弱性については、ほぼすべてのアドバイザリが取り上げている。とは言っても、もっとも悪質な欠陥は攻撃者がCiscoディバイスを完全に操作できるように許可してしまうものだが、それは主にISPで見られるCiscoのuBR10012 ディバイスに影響を及ぼしている。中小企業(SMB)の大方の管理者は、ISPグレードのディバイスに影響のないIOSアップデートだけを懸念しているため、ここでは主にそうした脆弱性を取り上げることにする。
IOSアドバイザリ3件の概要については次を参照:
- Cisco ドキュメントID 107441:
IOS L2TP DoS 問題
Layer 2 Tunneling Protocol (L2TP)は、仮想プライベート・ネットワーク(VPN)をサポートするために使うトンネリング・プロトコルだが、IOSは細工されたL2TP パケットを正確に分析することができないため、攻撃者は悪性のL2TPパケットを送信することで欠陥を悪用し、IOSデバイスが再起動する誘因となる。この欠陥を繰り返し悪用することで、攻撃者はユーザのデバイスを絶え間なく再起動させてサービス拒否(DoS)の状況においやることができる。ゲートウェイ・ルーターがCisco IOSを使用している場合、攻撃者はこの欠陥を悪用してネットワーク全体がインターネットに接続できないようにすることもできる。
CVSS スコア:7.8 (最も深刻=10) - CiscoドキュメントID 107617:
複数のIOS SIP DoS 問題
Session Initiation Protocol(SIP)は、Voice over IP (VoIP)テレフォニーによく使われるスタンダードだが、IOSはSIPメッセージの処理法に関する複数の欠陥の影響を受けている。攻撃者は細工したSIPメッセージをIOSデバイスに送信することで脆弱性を悪用し、ユーザのIOSデバイスがメモリ漏えいを起こしたり、リロードしたりする原因になり、結果としてDoS状態に持っていく。インターネットに接続するためにCisco IOSルーターを使用している場合、攻撃者は脆弱性を繰り返し悪用してネットワークをオフラインにすることができる。
CVSS スコア:7.8 - CiscoドキュメントID 107646:
MPLS Forwarding Infrastructure DoS 問題
Multi Protocol Label Switching (MPLS)Forwarding Infrastructure (MFI)用に設定したIOSデバイスは、細工されたパケットの処理法に見られる欠陥からDoS問題の影響を受けている。攻撃者は細工した悪性のパケットをユーザのIOSデバイスに送信することで脆弱性を悪用し、未特定のDoS状態を引き起こす原因とさせるが、おそらくそうすることでIOSディバイスはオフラインになると思われる。CiscoによるとMFIのみがこの脆弱性の影響を受けており、MFIによって代替された旧いLabel Forwarding Information Base (LFIB)導入は、この問題の影響を受けていないという。また、この脆弱性はMPLSを有効にしているIOSデバイスのインターフェイスにのみ影響する。
CVSS スコア:7.8
この他9件のアドバイザリには、先に解説した脆弱性と同等またはそれ以上に深刻な問題を修正しているものがいくつもある。Ciscoがリリースした9月分のアドバイザリ詳細については、参考資料の欄でリストに挙げた各アドバイザリのリンクをチェックするか、Ciscoのbundled security advisory for September 2008を参照することを勧める。
【対策】
Ciscoはこうした脆弱性を修正するためにパッチをリリースしている。IOSソフトウェアを使っているCiscoを利用している場合は、Ciscoの2008年9月分のセキュリティ・アドバイザリ「Software Versions and Fixes」 および「Obtaining Fixed Software」を参照し、状況に適したフィックスを探し、その入手先について調べること。アドバイザリのリンクは下記のリンク集を参照。
ウォッチガード・ユーザ対象:
こうした脆弱性は、通常WatchGuardファイアウォールの前に設置するルーターに影響を及ぼすため対応パッチをインストールすることが主な対策となる。
【ステータス】
Ciscoはこの問題に対応するフィックスを提供している。
【参考資料】
(英文記事)
- Cisco セキュリティ・アドバイザリ:2008年9月
- Cisco セキュリティ・アドバイザリ: IOS SSLパケット処理の脆弱性について
- Ciscoアドバイザリ:IOSに見られる複数のマルチキャスト問題について
- Ciscoアドバイザリ: IOS NAT Skinny Call Control Protocol 問題について
- Cisco アドバイザリ:IOS Session Initiation Protocol DoS 問題について
- Cisco アドバイザリ:IOS IPS DoS 問題について
- Cisco アドバイザリ:Unified Call Manager Session Initiation Protocol DoS の問題について
- Cisco アドバイザリ:Cisco uBR10012 SNMP の問題について
- Cisco アドバイザリ:IOS MPLS VPN情報漏えいの問題について
- Cisco アドバイザリ:IOS MPLS DoS問題について
- Cisco アドバイザリ:Cisco 10000, uBR10012, uBR7200 IPC 問題について
- Cisco アドバイザリ:IOS Software Firewall Application Inspection Control問題について
- Cisco アドバイザリ:IOS L2TP DoS 問題について
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)によって調査され書かれた記事です。