TCP DoS欠陥に脆弱なCiscoとその他ベンダー 2009年9月9日
TCP DoS欠陥に脆弱なCiscoとその他ベンダー
危険度:中
2009年9月9日
【概要】
【詳細】
Outpost24の2人の研究家が1年以上前に、TCPプロトコルでネットワークをクラッシュさせたり、ロックさせたりするために攻撃者が利用できる欠陥を発見したと主張した。当時、2人は問題をパッチする時間をベンダーに提供するために、そしてFinnish Computer Emergency Response Team (CERT-FI) と協力し同問題に関するアラートの公開に努めていたことから、その脆弱性の技術詳細を公開しなかった。しかし不幸にも、脆弱性を発見した研究家2人のうち1人が自宅で起きた火災時の煙により亡くなった。アラートがこれまで公開されなかったことには、おそらくそうした理由も背景にあったのだろう。だが、CERT-FIは今日ついに、そのTCPサービス拒否の脆弱性に関するアラートを公開した。
CERT-FIのアラートによると、2人は特定のSockstressというTCPソケット・ストレッシング・フレームワークを使用中に、この欠陥を発見したという。Sockstressは、細工したペイロードやウィンドウズ・サイズ、TCPステートなどを備えたTCP接続を羅列し開くことを許可するツールだ。細工したTCP接続をデバイスに大量送信することで、研究家達はサービス拒否を誘発するネットワークデバイスがあることを知ったという。一時的にデバイスでTCPトラフィックをブロックするものから、再起動が必要なほど完全にロックしてしまうものなど、DoSによる影響は幅が広い。
CERT-FIのアラートにはSockstress攻撃において何らかの面で影響を受けていると報告したベンダーの一覧が載せられている。
影響を受けているベンダーと各アラートへのリンク:
上記ベンダーの製品を使用している場合は、ベンダーが公開しているアラートの対策欄をチェックすることをすすめる。TCP DoSの脆弱性は、Ciscoデバイスの管理者には大きなリスクを掲げていると我々は見ている。WatchGuardのカスタマーで、Ciscoルーターやスイッチをネットワークで使用しているケースは多い。Ciscoは、同社のデバイスが(IOS やCatOSを実行しているデバイスを含む)様々な面でTCP DoS脆弱性の影響を受けていると警告している。サービス拒否(DoS)の脆弱性は、クライアント・マシーンにおいては最低限の影響のみであるかもしれないが、Ciscoルーターなどゲートウェイ・デバイスへのリスクは非常に高い。攻撃者がゲートウェイ・ルーターで脆弱性の悪用に成功すると、攻撃を仕掛けている間ユーザをインターネットから叩き落としておくことができる。このため、Cisco管理者はアップグレードを取り入れるか、Ciscoのアラートで提案されている対策を講じることを強くすすめる。
【対策】
Ciscoやその他のベンダーはTCP脆弱性を修正するパッチをリリースしているので、脆弱なデバイスを使用している場合は至急、ベンダーによるアラートを参考にしパッチを取り入れるか対策を講じることをすすめる。
ベンダーによるアラート:
【ウォッチガード・ユーザ】
通常WatchGuardファイアウォールの前にあるCiscoルーターに影響があるため、Ciscoのパッチを取り入れることが主な対策となる。他の影響を受けている製品を使用している場合も、ベンダーがすすめている対策を講じること。
論理的に見れば、WatchGuardのネットワーク・デバイスが、このSockstress TCP state manipulationという脆弱性の影響を受ける可能性はあるが、それを証明するようなものは現時点ではない。現在、WatchGuardでは様々なCERT団体と連絡を取り合い、未公開のSockstressツール入手に努めている。入手次第、弊社デバイスで脆弱性のテストを行い問題を発見した場合には連絡する。
【ステータス】
Ciscoやその他のベンダーは、この問題を修正するパッチを提供している。
【参考資料】
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。
危険度:中
2009年9月9日
【概要】
- 対象:
Cisco製品多々(IOS やCatOSを含む)CheckPoint、Red Hat Linuxにも影響あり - 攻撃方法:
細工したTCP接続をデバイスに大量送信する - 影響:
攻撃者はデバイスが新しいTCP接続を開けないように妨げるため、ほぼ大方のネットワーク・トラフィックがブロックされてしまう - 対策:
できる限り早急に状況に適したアップデートをダウンロードしインストールすること
【詳細】
Outpost24の2人の研究家が1年以上前に、TCPプロトコルでネットワークをクラッシュさせたり、ロックさせたりするために攻撃者が利用できる欠陥を発見したと主張した。当時、2人は問題をパッチする時間をベンダーに提供するために、そしてFinnish Computer Emergency Response Team (CERT-FI) と協力し同問題に関するアラートの公開に努めていたことから、その脆弱性の技術詳細を公開しなかった。しかし不幸にも、脆弱性を発見した研究家2人のうち1人が自宅で起きた火災時の煙により亡くなった。アラートがこれまで公開されなかったことには、おそらくそうした理由も背景にあったのだろう。だが、CERT-FIは今日ついに、そのTCPサービス拒否の脆弱性に関するアラートを公開した。
CERT-FIのアラートによると、2人は特定のSockstressというTCPソケット・ストレッシング・フレームワークを使用中に、この欠陥を発見したという。Sockstressは、細工したペイロードやウィンドウズ・サイズ、TCPステートなどを備えたTCP接続を羅列し開くことを許可するツールだ。細工したTCP接続をデバイスに大量送信することで、研究家達はサービス拒否を誘発するネットワークデバイスがあることを知ったという。一時的にデバイスでTCPトラフィックをブロックするものから、再起動が必要なほど完全にロックしてしまうものなど、DoSによる影響は幅が広い。
CERT-FIのアラートにはSockstress攻撃において何らかの面で影響を受けていると報告したベンダーの一覧が載せられている。
影響を受けているベンダーと各アラートへのリンク:
- Cisco(英語)(Cisco日本語サイト)
- Microsoft (これについては8日付けのLiveSecurity アラートで説明済み)
- CheckPoint [ アラート1 / アラート2 ](英語)
- Red Hat(英語)(Red Hat日本語サイト)
上記ベンダーの製品を使用している場合は、ベンダーが公開しているアラートの対策欄をチェックすることをすすめる。TCP DoSの脆弱性は、Ciscoデバイスの管理者には大きなリスクを掲げていると我々は見ている。WatchGuardのカスタマーで、Ciscoルーターやスイッチをネットワークで使用しているケースは多い。Ciscoは、同社のデバイスが(IOS やCatOSを実行しているデバイスを含む)様々な面でTCP DoS脆弱性の影響を受けていると警告している。サービス拒否(DoS)の脆弱性は、クライアント・マシーンにおいては最低限の影響のみであるかもしれないが、Ciscoルーターなどゲートウェイ・デバイスへのリスクは非常に高い。攻撃者がゲートウェイ・ルーターで脆弱性の悪用に成功すると、攻撃を仕掛けている間ユーザをインターネットから叩き落としておくことができる。このため、Cisco管理者はアップグレードを取り入れるか、Ciscoのアラートで提案されている対策を講じることを強くすすめる。
【対策】
Ciscoやその他のベンダーはTCP脆弱性を修正するパッチをリリースしているので、脆弱なデバイスを使用している場合は至急、ベンダーによるアラートを参考にしパッチを取り入れるか対策を講じることをすすめる。
ベンダーによるアラート:
- Ciscoのアラート(英語)
- マイクロソフト・セキュリティアドバイザリ:MS09-048(8日付けのLiveSecurity アラートで説明済み)
- CheckPoint [ Sockstress Alert / TCP Timer Alert ](英語)
- Red Hat Sockstress KBの記事(英語)
【ウォッチガード・ユーザ】
通常WatchGuardファイアウォールの前にあるCiscoルーターに影響があるため、Ciscoのパッチを取り入れることが主な対策となる。他の影響を受けている製品を使用している場合も、ベンダーがすすめている対策を講じること。
論理的に見れば、WatchGuardのネットワーク・デバイスが、このSockstress TCP state manipulationという脆弱性の影響を受ける可能性はあるが、それを証明するようなものは現時点ではない。現在、WatchGuardでは様々なCERT団体と連絡を取り合い、未公開のSockstressツール入手に努めている。入手次第、弊社デバイスで脆弱性のテストを行い問題を発見した場合には連絡する。
【ステータス】
Ciscoやその他のベンダーは、この問題を修正するパッチを提供している。
【参考資料】
- CERT-FI Sockstress アラート(英語)
- Ciscoのアラート(英語) (Cisco日本語サイト)
- マイクロソフト・セキュリティアドバイザリ:MS09-048(LiveSecurity アラートで連絡済み)
- CheckPoint [ Sockstress Alert / TCP Timer Alert ] (英語)
- Red Hat(英語)(Red Hat日本語サイト)
この記事はコーリー・ナクライナー(Corey Nachreiner, CISSP)により調査・執筆されました。