日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
PPP CHAP認証には、リリース9.1(1)のCHAPサポート以降、すべての「クラシック」Cisco IOSソフトウェアバージョン(製品番号が1000以上のCiscoスイッチ以外の製品、AGS/AGS+/CGS/MGS、およびCS-500で使用されているソフトウェアで、Catalystスイッチや7xxまたは9xxルータでは使用されていない)に重大なセキュリティ脆弱性(バグID CSCdi91594)があります。この脆弱性により、適切なスキルと知識を持つ攻撃者は、CHAP認証を完全に回避できます。他のPPP認証方式は影響を受けません。
関連する脆弱性は、Cisco IOS/700ソフトウェア(7xxルータで使用されるソフトウェア)に存在します。IOS/700の設定に関する回避策は存在し、1997年12月までにリリースされる予定のソフトウェアバージョン4.1(2)には、76xおよび77xルータに対する完全な修正が含まれます。75xルータの修正は、1998年前半に予定されています。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-19971001-chap で公開されています。
該当製品
脆弱性のある製品
上記よりも古い「クラシック」Cisco IOSソフトウェアリリースを実行し、PPP認証にCHAPを使用するすべてのシステムに脆弱性が存在します。シスコでは、ISDNモデムやPOTSモデムなどを使用するダイヤルインサービスが最も現実的なリスクであると考えています。
IOS/700ソフトウェアを実行しているシステムは、発信側と着信側の両方のシステムを認証するために双方向でCHAPを使用している場合、関連する攻撃に対して脆弱です。PPP認証にPAPを使用しているシステムには脆弱性はありません。
脆弱性を含んでいないことが確認された製品
PPPが設定されていないシステムには脆弱性はありません。システム設定ファイルにキーワード「ppp」と「chap」の両方が表示されていない場合は、脆弱性はありません。
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
現時点では、これらの脆弱性に関するこれ以上の詳細は公開されません。詳細については、1998年3月31日以降に利害関係者に公開される予定です。
Cisco IOSソフトウェアの脆弱性に関するCiscoバグ追跡番号はCSCdi91594です。10.3(19)修正でのエラーのバグトラッキング番号はCSCdj37314です。
回避策
このセクションでは、次の脆弱性の回避策について説明します。
従来のCisco IOS
シスコでは、従来のCisco IOSの脆弱性に対する一般的な回避策を認識していません。影響を受けるユーザは、自身を保護するためにソフトウェアをアップグレードするか、CHAP認証の使用を停止する必要があります。CHAP認証の代替手段には、PAP認証や「発信者ID」情報への依存などがあります。これらの方式のセキュリティの違いは複雑で状況に依存するため、このドキュメントでは説明しません。
IOS/700
IOS/700の脆弱性は、次のいずれかの設定変更によって回避できます。
-
たとえば、ISDNスイッチの設定を変更するか、発信者IDに依存してset calleridコマンドとset callidreceiveコマンドを使用することで、問題のルータが着信コールを受信できないようにします。
-
コールを受信するルータがCHAPを使用して発信側システムに対して自身を認証することを防止します。これを行うには、set ppp secret clientコマンドを使用して、認証に使用されるCHAPシークレットをランダムに選択された「ガベージ」値に設定します。
-
各リンクの各方向で異なるCHAPシークレットが使用されるようにルータを設定します。それには、set ppp secret clientコマンドとset ppp secret hostコマンドを使用します。この方法は、従来のCisco IOSルータと通信する必要がある7xxルータでは使用できないことに注意してください。従来のCisco IOSでは、非対称CHAPシークレットがサポートされていないためです。
これらの変更はどれでも十分です。この変更は、IOS/700ソフトウェアバージョン4.1(2)のリリースとインストール後に削除される可能性があります。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
この問題は、次の従来のCisco IOSソフトウェアリリースでは修正されています。
|
メジャー リリース |
最初の修復されたメンテナンスリリース |
インストールに推奨されるメンテナンスリリース |
|---|---|---|
|
Cisco IOS 10.3 |
10.3(19a) |
10.3(19a) |
|
Cisco IOS 11.0 |
11.0(17)、11.0(17)BT |
11.0(17)、11.0(17)BT |
|
Cisco IOS 11.1 |
11.1(13)、11.1(13)AA、11.1(13)CA、11.1(13)IA |
11.1(14)、11.1(14)AA、11.1(14)CA、11.1(14)IA |
|
Cisco IOS 11.2 |
11.2(8)、11.2(8)P、11.2(4)F1(11.2(4)Fの後継) |
11.2(8)、11.2(8)P、11.2(4)F1。11.2(9)はCHAPユーザには推奨されません。 |
Cisco Systemsでは、CHAP認証を備えた従来のCisco IOS PPPを使用しているすべてのユーザを、これらのいずれかまたはより新しいリリースにアップグレードすること、およびIOS/700 PPP with CHAP認証を使用するすべてのユーザに、このドキュメントで説明する設定上の回避策をインストールすることを強く推奨しています。
11.2(4)F1リリースは、1997年10月6日(月)までに提供される予定です。11.2Fリリースのユーザは、可能な限り11.2または11.2Pリリースに移行することをお勧めします。上記のその他すべてのリリースは、この通知のリリース後すぐに利用可能になります。
上記の推奨リリース番号は、最も一般的な状況に最適な選択肢であると考えられますが、使用するリリースを選択する前に、お客様がネットワーク構成やその他のニーズを評価することが非常に重要です。
シスコでは、この脆弱性に対処するために、従来のCisco IOS PPPユーザすべてに対して無償のソフトウェアアップグレードを提供しています。アップグレードの詳細については、この通知の末尾に記載されています。IOS/700バージョン4.1(2)のリリース時に、IOS/700ユーザに無償アップグレードが提供されます。
従来のCisco IOSソフトウェアは、このNoticeの最初のセクションで説明したリリースのいずれか、またはそれ以降のリリースにアップグレードする必要があります。新しいソフトウェアを入手するための手順は、この通知の最後にあります。アップグレードされたソフトウェアのインストール手順は、標準のシステムドキュメントに記載されています。
Cisco IOSソフトウェアのアップグレードをインストールする前に、新しいソフトウェアがハードウェアと互換性があることを必ず確認してください。アップグレードを実行するのに十分なメモリがあることを確認することが特に重要です。一般的なサポートと完全なシステムドキュメントは、インターネットのWorldwide Web(http://www.cisco.com)から入手できます。
何らかの説明のアップグレードをインストールする前に、インストールするバージョンに設定に悪影響を及ぼすバグがないことを確認することが常に賢明です。ソフトウェアのアップグレード全般に関する詳細とアドバイスについては、シスコのWebサイトを参照してください。
新しいソフトウェアは、CHAP関連の攻撃に対する耐性を高めるために、さまざまな点で変更されています。一部の変更により、お客様の特定のネットワークでCHAP認証が失敗する場合があります。シスコでは、該当する設定はまれであると考えています。アップグレードされたソフトウェアをインストールした場合、正当なCHAP接続が機能しなくなった場合は、この後の段落を参照してください。実際のネットワークで発生する可能性のある障害について、この段落で説明していると思われます。次の段落を読んでもCHAPが動作しない場合は、Cisco TACに連絡して、ソフトウェアの再設定のサポートを受けてください。
この脆弱性に対する修正はCisco IOSソフトウェアバージョン10.3(19)でリリースされましたが、修正の実装でエラーが発生したため、10.3(19)システム間のほとんどすべてのCHAP認証が失敗しました。このエラーは、10.3(19a)で修正されています。CHAPが使用されているインターフェイスごとにコマンドno ppp chap waitが設定されている場合は、10.3(19)を安全に使用できます。変更された動作によって防御される潜在的な攻撃に対して複数の修正が導入されているため、no ppp chap waitを使用してもシステムの脆弱性はかなり高まりません。
ISDNスイッチなどの中間デバイスが、修正されたCisco IOSソフトウェアが稼働する2つの異なるシステムに着信コールを確立し、この2つのシステムを互いに接触させると、2つのシステム間のCHAP認証が失敗する場合があります。これは、各システムがコールを受信していると「認識」し、どちらのシステムもコールを発信していると「認識」しないためです。これが設定の問題である場合は、両方のシステムの影響を受けるインターフェイス専用にppp directionコマンドを使用します。
推奨事項
不正利用事例と公式発表
シスコでは、これらの脆弱性が「システムクラッカー」によって悪用された事実を認識していません。また、公開されているエクスプロイトコードも確認していません。シスコは、クラッカーコミュニティで脆弱性の詳細が広く理解されているとは考えていません。しかし、これらの脆弱性の理論的な可能性については、PPPセキュリティの専門家の間で公に議論されています。
シスコでは、これらの脆弱性が活発に悪用されていることを知りませんが、クラッカーコミュニティが最終的にこれらを「発見」し、この通知が発行されることで、このプロセスが加速されると考えています。脆弱性のあるユーザは、可能な限り迅速にアップグレードまたは回避策のインストールを行う必要があります。
URL
改訂履歴
|
リビジョン 4.0 |
1997年10月1日 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。