ケーブル モデム終端システム認証バイパス

このセキュリティ アドバイザリでは、次の 2 つの問題について説明します。

まず 1 つは、ケーブル モデムのサービス プロバイダーのネットワークに接続されていないインターフェイスからコンフィギュレーション ファイルをダウンロードできる非シスコ製ケーブル モデムに関連した問題です。従来の動作により、不正な設定がケーブル モデムにダウンロードされます。シスコは、独自のソフトウェアでこの脆弱性を緩和する機能を提供しています。この機能については、CSCdx57688 を参照してください。

2番目の問題は、Cisco uBR7200シリーズおよびuBR7100シリーズユニバーサルブロードバンドルータ上のCisco IOS®ソフトウェアの脆弱性に関するものです。CSCdx72740 に文書化されている障害により、不完全で無効なコンフィギュレーション ファイルが作成されます。また、該当するルータでは、このファイルが誤って有効として受け入れられます。

いずれの脆弱性も不正利用され、ケーブル モデムを再設定して帯域幅制限を削除することにより、サービスが盗まれています。シスコは、この問題に対処するために、無料のソフトウェア アップグレードを提供しています。この文書の最新の公式版は、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20020617-cmts-md5-bypass から入手できます。

このセクションには、該当製品に関する詳細が掲載されています。

この文書で説明する 2 つの問題は、ケーブル モデム システムの正常な動作に影響を与えます。この問題のうちの 1 つは、シスコ製ではないケーブル モデムの従来の動作が原因です。もう 1 つは、Cable Modem Termination System（CMTS; ケーブル モデム終端システム）上で実行される Cisco IOS ソフトウェアの障害により、ケーブル モデムが無効な設定で動作することが原因です。

Customer Premises Environment（CPE; 顧客宅内環境）のケーブル モデムは、初期化時に Trivial File Transfer Protocol（TFTP; トリビアル ファイル転送プロトコル）を使用して、サービス プロバイダーのネットワークに接続されている同軸ケーブルを経由し、サービス プロバイダーのネットワークからコンフィギュレーション ファイルを取得します。シスコ以外のメーカー製の従来型のケーブル モデムでは、デバイスのイーサネット インターフェイスを経由して設定情報をダウンロードできます。顧客宅内のコンピュータ上で TFTP サーバを実行し、このコンピュータの IP アドレスをサービス プロバイダーの TFTP サーバと同じアドレスに設定すると、顧客宅内ネットワークから前述のケーブル モデムに異なるコンフィギュレーション ファイルをダウンロードできます。

ケーブル モデムの設定情報として業界標準である Data Over Cable Service Interface Specification（DOCSIS）には、設定内容の Message Digest 5（MD5）ハッシュに基づいた Message Integrity Check（MIC; メッセージ完全性チェック）が含まれます。MD5は一方向（非反転）ハッシュであり、入力を出力から復元できないことを意味し、出力は特定の入力に対して一意であると見なされます。MIC が正しくない場合は、ケーブル モデムの登録プロセスが失敗し、オンラインではなくなります。有効な MIC を含む DOCSIS 準拠の設定を作成するためのツールが存在し、公開されています。Cisco IOS ソフトウェアの cable shared-secret コマンドを使用して、MIC を生成する MD5 ハッシュに含まれるパスワードを設定します。このパスワードがない場合は、正しくマッチングする MIC を生成することが計算上不可能となり、ケーブル モデムをプロバイダーのネットワークに登録できなくなります。

共有シークレットがサービス プロバイダーのネットワーク内のすべてのシステムで同一に設定され、前述のように TFTP スプーフィングが可能な場合は、同じサービス プロバイダー ネットワーク用の異なるパラメータを含む別の有効な設定をケーブル モデムにダウンロードできます。このモデムは、共有シークレットが同じであるため、オンラインにすることができます。また、MD5 ハッシュは不可逆ですが、MD5 ハッシュを計算するための共有シークレットは CMTS ルータ設定から復元できます。共有シークレットは、Cisco IOS ソフトウェアの「service password-encryption」コマンドを使用して保護できます。ただし、このコマンドで使用される「モード 7」暗号化は、一般的な表示からの基本的な保護にしかならないと考えられています。

MIC が DOCSIS コンフィギュレーション ファイルから提供されているものでない場合は、uBR7200 シリーズおよび uBR7100 シリーズのユニバーサル ブロードバンド ルータの Cisco IOS ソフトウェアにおける障害により、MD5 テストがスキップされます。16 進エディタを使用して DOCSIS 設定を変更し、MIC の直前でファイルを切り捨てて他のフィールドを調整すると、ケーブル モデムおよび CMTS で受け入れられる不正なコンフィギュレーション ファイルを作成できます。ケーブル モデムが登録を行おうとすると、脆弱な CMTS は、MIC がないことを確認要求せずにケーブル モデムをオンラインにします。この脆弱性を使用すると、可能な設定範囲は、同じサービス プロバイダーに対して選択肢セットが限定されなくなります。すべてのオプションを指定することができる、完全なカスタム設定を生成できるようになります。この障害は CSCdx72740 に文書化されており、シスコの Web サイトの登録済みのユーザは、詳細をご覧になれます。

登録試行に先立つ CMTS において一致する TFTP トラフィックがない場合は、Cisco IOS ソフトウェアの設定コマンド cable tftp-enforce を使用すると、ケーブル モデムの登録およびオンラインへの移行を禁止できます。この機能は CSCdx57688 の文書で紹介されており、シスコ Web サイトの登録済みのユーザはこれをご覧になれます。この新しいコマンドは、uBR7200 シリーズ、uBR7100 シリーズ、および uBR10012 シリーズのルータで使用できます。

これらの脆弱性を適切に緩和するには、cable tftp-enforce コマンド機能、および MD5 認証バイパスに関する修正の両方が必要となります。シスコは、次に示す場所で修正済みソフトウェアを公開しています。

シスコ製でないケーブル モデムでは、古いバージョンのソフトウェアが実行されている場合があります。このようなソフトウェアは、設定情報のローカル コピーを保存し、登録時に、TFTP サーバから実際のファイルを取得するのではなく、このキャッシュしたコピーを使用します。このため、ケーブル モデムで適切な設定情報が使用されない可能性があるだけでなく、ケーブル モデムのユーザが、サービスの盗難の濡れ衣を着せられる場合があります。

MD5 バイパス脆弱性には、回避策はありません。cable tftp-enforceコマンドを使用し、shared-secret 方式を展開してシークレットを規定として変更して、帯域幅制限を不当に変更した証拠がないかどうかを CMTS ルータで監視してください。

サービス プロバイダーにサービス プロファイルが 1 つしかない場合は、cable qos permission enforce コマンドを使用して、このプロファイル以外のサービス プロファイルを含む設定でケーブル モデムがオンラインになることを防止します。このコマンドは、サポートされているすべてのリリースで有効です。

no cable qos permission modem コマンドを使用すると、新しいサービス プロファイルを含む設定が作成されることを防止できます。これにより、ファイル名を予測してサーバにアクセスすることが可能な場合でも、サービス プロバイダーの TFTP サーバ上にある既知で既存のコンフィギュレーション ファイルのサービス プロファイルしか盗まれません。

下記の Cisco IOS ソフトウェアの表に、この通知に説明する脆弱性の修正を含んだリリース群の中の最初のリリースのラベルを示します。下表に記載するリリース群は、特別に「非脆弱」のラベルがない限り、脆弱であると想定されます。表の各行に、リリース群、および対象のプラットフォームまたは製品を示します。脆弱なリリース群に対する修正を含む最初のリリース（「最初の修正リリース」）およびそれぞれのリリース予定時期を、再構築、暫定、メンテナンスの各列に示します。特定の列に記されているリリースよりも古い（第 1 修正済みリリースより古い）トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。このようなリリースは、少なくとも、示されているリリース以上（最初の修正リリース ラベル以上）にアップグレードしてする必要があります。リリースを選択するときは、次の定義を念頭においてください。

• メンテナンス- 表の該当行のリリース群のうち、十分にテストされて安定しているため、強く推奨されるリリース。
  
• 再構築- 同じリリース群の以前のメンテナンス リリースまたはメジャー リリースから構築されたリリース。特定の障害に対する修正が含まれています。テストは十分ではありませんが、脆弱性を修正するために必要な最小限の変更だけが含まれています。
  
• 暫定- メンテナンス リリース間に定期的に構築されるリリース。厳密なテストは実施されていません。暫定は、脆弱性に対応しているリリースが他にない場合にだけ選択してください。暫定イメージは、次のメンテナンス リリースが利用可能になった後、すぐにアップグレードする必要があります。暫定リリースは製品としては提供されず、通常は、Cisco Technical Assistance Center（TAC）によって事前に手配されない限り、CCO からダウンロードできません。
  

特定の状況では、下記に示すリリース ラベルが最適なリリースではない場合があります。すべての場合において、アップグレードするデバイスに十分なメモリが実装されており、現在のハードウェアおよびソフトウェアの構成が新しいソフトウェア リリースでも適切にサポートされていることを確認する必要があります。情報に不明な点がある場合は、修正済みソフトウェアの取得にしたがって、Cisco TAC までお問い合せください。

Cisco IOS ソフトウェアのリリース名および省略形の詳細は、http://www.cisco.com/warp/public/620/1.html620 を参照してください。

修正は、http://www.cisco.com/public/sw-center/ の Software Center から入手できます。

ソフトウェアのインストールおよびアップグレードの手順については、http://www.cisco.com/warp/public/130/upgrade_index..shtml を参照してください。

これらの脆弱性については公で広範囲にわたって話題にされており、これらの脆弱性につけこむ手順が複数の Web サイトで公表されています。Cisco PSIRT では、このような脆弱性につけこんだサービスの盗難を数多く認識しています。

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。