Cisco TelnetのDoS脆弱性

Internetwork Operating System(IOS)^®を実行しているCiscoデバイスのTelnetまたはリバースTelnetポートへの巧妙に細工されたTransmission Control Protocol（TCP；伝送制御プロトコル）接続によって、さらにTelnet、リバースTelnet、Remote Shell（RSH；リモートシェル）、Secure Shell（SSH；セキュアシェル）、場合によってはHypertext Transport Protocol（HTTP；ハイパーテキスト転送プロトコル）によるCiscoデバイスへのアクセスがブロックされることがあります。Data Link Switching（DLSw；データリンクスイッチング）およびプロトコル変換の接続も影響を受ける可能性があります。Telnet、リバースTelnet、RSH、SSH、DLSw、および不正利用される前に確立されたプロトコル変換セッションは影響を受けません。

その他のデバイスサービスはすべて正常に動作します。パケット転送（DLSwと上記のプロトコル変換を除く）、ルーティングプロトコル、およびデバイスを経由するその他すべての通信などのサービスは影響を受けません。

シスコはこの脆弱性に対処する無償ソフトウェアを提供しています。この脆弱性に対する保護には、次に示す回避策があります。

この脆弱性は、Cisco Bug ID CSCef46191(登録ユーザ専用)に記載されています。

このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20040827-telnetで確認できます。

Telnet、RSH、およびSSHは、Cisco IOSデバイスのリモート管理に使用されます。SSHプロトコルは、シスコデバイスとの間で暗号化によって保護されたファイル転送を可能にするSecure Copy(SCP)にも使用されます。

データリンクスイッチング(DLSw)は、IBM Systems Network Architecture(SNA)およびNetwork Basic Input/Output System(NetBIOS)トラフィックをIPネットワーク上で転送する手段を提供します。これは、DLSwの導入前に広く導入されていたトークンリング環境でSNAおよびNetBIOSトラフィックを転送するためのプロトコルであるソースルートブリッジング(SRB)の代替として機能します。

DLSwの詳細については、次のURLを参照してください。

http://www.cisco.com/en/US/docs/internetworking/technology/handbook/DLSw.html

プロトコル変換は、あるプロトコル（TCP/IPを使用したTelnetなど）を実行しているホストを、別のプロトコル（LATなど）を実行しているホストに接続する方法です。このプロセスにより、X.25やTCP/IPなど、異なるプロトコルを実行しているデバイスが通信できるようになります。

プロトコル変換の詳細については、次のURLを参照してください。

http://www.cisco.com/en/US/docs/ios/11_0/access/connection/guide/xptservs.html

IPv4とIPv6で動作するサービスも同様に影響を受けます。

HTTPは、特定のシスコデバイスの管理にも使用されます。12.2(15)Tよりも前のIOSバージョンにはHTTPサーババージョン1.0が含まれており、これを設定すると、エクスプロイトされているデバイスで応答しなくなります。12.2(15)T以降のIOSバージョンにはHTTPサーバのバージョン1.1が含まれますが、このバージョンには影響はありません。

IOSイメージに含まれているIOS HTTPサーバのバージョンを確認するには、show subsys name httpコマンドを使用します(show subsysコマンドを実行するには、enable accessを有効にする必要があります)。

Router# show subsys name http

                    Class         Version
http                Protocol    1.001.001

上記の出力は、HTTPサーババージョン1.1が含まれていることを示しています。

Router# show subsys name http

                    Class         Version
http                Protocol    1.000.001 

上記の出力は、HTTPサーババージョン1.0が含まれていることを示しています。

リバースTelnetは、CiscoデバイスにTelnet接続した後、非同期シリアル接続を介して3番目のデバイスに接続できる機能です。この設定は、アウトオブバンド(OOB)管理の形式として、ホストやルータ/スイッチなどの接続デバイスに「コンソールサーバ」機能を提供することとよく呼ばれます。リバースTelnetの詳細については、次のドキュメントを参照してください。

http://www.cisco.com/en/US/docs/ios/12_0/dial/configuration/guide/dcrtelnt.html

http://www.cisco.com/en/US/docs/ios/11_3/dial/configuration/guide/dcrtelnt.html

リバースTelnetサーバとして動作しているシスコデバイスでは、次の範囲でポートが開いている可能性があります。

• 2001 ～ 2999
  
• 3001 ～ 3099
  
• 6001 ～ 6999
  
• 7001 ～ 7099
  

上記のTCPポート23またはリバースTelnetポートでIOSデバイスに対して巧妙に細工されたTCP接続が確立されると、以降のすべてのtelnet、リバースTelnet、RSH（TCPポート514）、SSH、SCP（SSHおよびSCPはTCPポート22を使用）、DLSw（TCPポート2065 ～ 2067）、プロトコル変換、およびHTTP(TCP0)接続0が0の悪用されたデバイスへの接続接続が失敗する場合場合があります。デバイスですでに確立されているTelnet、リバースTelnet、RSH、SSH、SCP、DLSw、プロトコル変換、およびHTTPセッションは、引き続き正常に機能します。

Cisco IOSでは、telnet、リバースTelnet、RSH、SSH、SCP、DLSw、プロトコル変換、および一部のHTTPセッションは、仮想端末(VTY)によって処理されます。Telnet、リバースTelnet、RSH、SSHとSCP、DLSw、およびプロトコル変換セッションの各セッションは、VTYを消費します。不正利用に成功すると、Ciscoデバイスは以降のVTY接続を受け入れることができなくなります。

不正利用に成功した後は、デバイスへの新しいTelnet、リバースTelnet、RSH、SSH、SCP、DLSw、プロトコル変換、またはHTTP接続を確立することはできませんが、デバイスはTCPポート23および上記のリバースTelnetポートでのみ脆弱です。

この脆弱性の不正利用に成功するには、完全な3ウェイTCPハンドシェイクが必要であり、送信元IPアドレスのスプーフィングを非常に困難にします。

VTYを使用するリモートアクセスサービスだけが影響を受けます。これには、telnet、リバースTelnet、RSH、SSH、SCP、DLSw、プロトコル変換、およびHTTPサーバのバージョン1.0が含まれます。ルーティングプロトコル、TACACS/RADIUS、Voice over IP(VoIP)、パケット転送（DLSwおよびプロトコル変換を除く）などの他のデバイスサービスは影響を受けません。

この脆弱性は、Cisco Bug ID

• CSCef46191(登録ユーザ専用)
  

回避策の効果は、製品の組み合わせ、ネットワークトポロジ、トラフィックの動作、組織のミッションなど、お客様の状況によって異なります。導入する前に、サービスプロバイダーやサポート組織に問い合わせて、対象のネットワークで使用するのに最も適した回避策を確認してください。

緩和戦略

ここに示した緩和戦略のすべてが、すべてのお客様に有効とは限りません。リストされている回避策の一部は、ネットワーク内に存在するIOSのバージョンと機能セットによって異なります。

SSHの有効化とTelnetの無効化

注：SSHサポートは、特定のIOSフィーチャセットおよびプラットフォームでのみ使用できます

SSHをサポートするシスコデバイスでは、次に示す手順に従ってSSHを有効にできます。

http://cisco.com/en/US/docs/ios/12_2/security/configuration/guide/scfssh.html#wp1001167

デバイスへのTelnetアクセスを無効にするには、すべてのVTY回線で次のように設定します。

Router(config)# line vty 0 4
Router(config-line)# transport input ssh 

注：SSHが有効になっていても、Telnetアクセスが無効になるまでIOSデバイスは保護されません。

vty アクセス クラスの設定

注：Route Switch Module（RSM；ルートスイッチモジュール）、Route Switch Feature Card（RSFC；ルートスイッチフィーチャカード）、Multilayer Switch Module（MSM；マルチレイヤスイッチモジュール）、またはMultilayer Switch Feature Card（MSFC；マルチレイヤスイッチフィーチャカード）のいずれかのバージョンが搭載されたCisco Catalystスイッチプラットフォームは、スイッチのスーパーバイザモジュールから「session」コマンドを使用してこれらのモジュールに接続できます。「session」コマンドは、MSM/MSFCに接続するために内部でtelnetを使用しますが、VTY ACLによって制限されません。

VTYアクセスクラスを適用して、既知の信頼できるデバイスだけにTelnet、リバースTelnet、およびSSH経由でのデバイスへの接続を許可することで、シスコデバイスの公開を制限できます。

VTYへのトラフィック制限の詳細については、次を参照してください。

http://www.cisco.com/en/US/products/sw/iosswrel/ps1818/products_configuration_example09186a0080204528.shtml

次の例では、192.168.1.0/24ネットブロックおよび単一のIPアドレス172.16.1.2からのVTYへのアクセスを許可し、それ以外の場所からのアクセスは拒否しています。

Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)# access-list 1 permit host 172.16.1.2
Router(config)# line vty 0 4
Router(config-line)# access-class 1 in

ターミナルサーバとして動作するデバイスの場合、リバースTelnetポートにアクセスクラスを適用するには、補助ポートおよび端末回線用のアクセスリストも設定する必要があります。

Router(config)# line 1 <x>
Router(config-line)# access-class 1 in

サポートする端末回線数は、Ciscoプラットフォームによって異なります。デバイスの設定をチェックして、プラットフォームに適した端末回線数を確認します。

アクセスリスト(ACL)の設定

VTYアクセスクラスの設定に加えて、ネットワークインフラストラクチャ宛てのすべてのTelnetおよびリバースTelnetトラフィックをブロックすることが望ましい場合があります。

信頼できるネットワークへのすべてのアクセスを制御するトランジットACLの一部として、TelnetとリバースTelnetをブロックする必要があります。トランジットACLは、ネットワークセキュリティのベストプラクティスと考えられており、ここでの特定の脆弱性の回避策としてだけでなく、優れたネットワークセキュリティへの長期的な付加機能として考慮する必要があります。ホワイトペーパー『トランジットアクセスコントロールリスト：エッジでのフィルタリング』では、トランジットACLのガイドラインと推奨される導入方法について説明しています。

http://www.cisco.com/en/US/tech/tk648/tk361/technologies_white_paper09186a00801afc76.shtml

インフラストラクチャアクセスリスト(iACL)の設定

ネットワークを移動するトラフィックをブロックするのは往々にして困難ですが、インフラストラクチャ デバイスに送られてはならないトラフィックを識別し、ネットワークの境界でそのトラフィックをブロックすることは可能です。インフラストラクチャ ACL はネットワーク セキュリティのベスト プラクティスと考えられており、ここでの特定の脆弱性の回避策としてだけでなく、優れたネットワーク セキュリティへの長期的な付加機能として考慮する必要があります。ホワイトペーパー『Protecting Your Core: Infrastructure Protection Access Control Lists』では、インフラストラクチャ保護ACLのガイドラインと推奨される導入方法について説明しています。

http://www.cisco.com/en/US/tech/tk648/tk361/technologies_white_paper09186a00801a1a55.shtml

受信アクセスリスト(rACL)の設定

分散プラットフォームの場合、rACLは、12000シリーズGSRのCisco IOSソフトウェアバージョン12.0(21)S2および7500シリーズの12.0(24)S以降のオプションである可能性があります。受信アクセス リストは、ルート プロセッサが有害なトラフィックの影響を受ける前に、そのトラフィックからデバイスを保護します。受信パスACLはネットワークセキュリティのベストプラクティスと考えられており、ここでの特定の脆弱性の回避策としてだけでなく、優れたネットワークセキュリティへの長期的な付加機能として考慮する必要があります。CPU 負荷がライン カード プロセッサに分散されるため、メイン ルート プロセッサの負荷を軽減させるのに役立ちます。ホワイトペーパー『GSR: Receive Access Control Lists』では、デバイスへの正当なトラフィックを識別して許可し、望ましくないパケットをすべて拒否するのに役立ちます。

http://www.cisco.com/en/US/tech/tk648/tk361/technologies_white_paper09186a00801a0a5e.shtml

IOS CLIを使用したハングしたTCP接続のクリア

whoコマンドは、デバイスへのVTY接続を表示します。

Router# who
    Line       User       Host(s)              Idle       Location
   0 con 0                192.168.10.72        00:00:00
*  2 vty 0                idle                 00:00:00 192.168.10.72
   3 vty 1                idle                 00:00:04 192.168.10.10

上記は、VTY上の2つの接続を示しています。1つは192.168.10.72からの接続、もう1つは192.168.10.10からの接続です。*は、現在のセッションに属するVTYを示します。上記の例では、whoコマンドを発行したユーザは192.168.10.72から接続しています。VTY 1上の192.168.10.10からセッションをクリアするには、次のコマンドを使用します。

Router# clear tcp line vty 1
[confirm]
 [OK]

注：Telnetを使用してデバイスに接続している場合、誤ってTCP接続をクリアすると、Telnetセッションが切断されます。IOSデバイスが不正利用されると、Telnet経由で再接続できなくなります。サービスを復元するには、コンソールアクセスまたはデバイスのリロードが必要です。

SNMPを使用したハングしたTCP接続のクリア

SNMPを使用してハングしたTCP接続を検出してクリアすることもできます。ハングした接続を検出するには、デバイスでSNMPの読み取り専用コミュニティストリングを設定する必要があります。接続をリセットするには、デバイスでSNMP読み取り/書き込みコミュニティストリングを設定する必要があります。

次のドキュメントでは、ハングしたTCP接続をSNMPで検出してクリアするプロセスについて詳しく説明します。

http://www.cisco.com/en/US/tech/tk648/tk362/technologies_problem_troubleshooting09186a00802b93ef.shtml

シスコは、現在保守されているすべてのIOSリリースにおいて、この脆弱性に対する修正を提供しています。この脆弱性を軽減するためにソフトウェアをアップグレードする必要はありません。使用可能な設定上の回避策については、次の情報を参照してください。このソフトウェア修正は、IOSソフトウェアの定期的なメンテナンスリリースに含まれています。

修正済みソフトウェアが入手可能になり次第、シスコはこのアドバイザリのセクションを更新します。

Cisco 製品で稼働しているソフトウェアを確認するには、デバイスにログインし、show version コマンドを発行してシステム バナーを表示します。Cisco IOSソフトウェアは、「Internetwork Operating System Software」または単に「IOS®」と表示されます。出力の次の行では、イメージ名がカッコで囲まれて表示され、その後に「Version」とIOSリリース名が続きます。その他の Cisco デバイスには show version コマンドがないか、異なる出力が返されます。

次の例は、IOSリリース12.0(3)が稼働し、インストールされているイメージ名がC2500-IS-Lであるシスコ製品を示しています。

Cisco Internetwork Operating System Software IOS (TM)
    
2500 Software (C2500-IS-L), Version 12.0(3), RELEASE SOFTWARE

リリーストレインラベルは「12.0」です。

次の例は、IOSリリース12.0(2a)T1を実行し、イメージ名がC2600-JS-MZの製品を示しています。

Cisco Internetwork Operating System Software IOS (tm)

C2600 Software (C2600-JS-MZ), Version 12.0(2a)T1, RELEASE SOFTWARE (fc1)

Cisco IOSバナーの詳細については、http://www.cisco.com/warp/public/620/1.html#3を参照してください。

Cisco IOS ソフトウェアの表（下掲）の各行には、リリース トレインとそれに対応するプラットフォームまたは製品が記載されています。特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース（「第 1 修正済みリリース」）とそれぞれの提供日が「リビルド」列と「メンテナンス」列に記載されます。特定の列に記されているリリースよりも古い（第 1 修正済みリリースより古い）トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。このようなリリースは、少なくとも、示されているリリース以上（最初の修正リリース ラベル以上）にアップグレードしてする必要があります。リリースを選択するときは、次の定義を念頭においてください。

メンテナンス：表の特定の行のリリーストレインについて、十分にテストされ、安定しており、強く推奨されるリリースです。

リビルド：同じトレインの以前のメンテナンスリリースまたはメジャーリリースから構築され、特定の不具合に対する修正が含まれています。テストは十分ではありませんが、脆弱性を修正するために必要な最小限の変更だけが含まれています。

すべての場合において、アップグレードするデバイスに十分なメモリが実装されており、現在のハードウェアおよびソフトウェアの構成が新しいソフトウェア リリースでも適切にサポートされていることを確認する必要があります。情報が明確でない場合は、Cisco TACに連絡して、下記の「修正済みソフトウェアの入手」セクションに示されているサポートを依頼してください。

Cisco IOS ソフトウェアのリリース名および省略形の詳細は、http://www.cisco.com/warp/public/620/1.html620 を参照してください。

修正は、http://www.cisco.com/tacpage/sw-center/ の Software Center から入手できます。

ソフトウェアのインストールおよびアップグレード手順については、http://www.cisco.com/en/US/products/ps6350/tsd_products_support_install_and_upgrade.htmlを参照してください。

Cisco IOSのすべてのポスト済みイメージと修復済みイメージの現在のビューについては、Cisco.comの登録ユーザが利用できるリスト(http://www.cisco.com/tacpage/sw-center/sw-ios.shtml)を確認してください。

Cisco PSIRTはこの脆弱性のエクスプロイトを認識しており、お客様に対して自身を保護するための措置を講じることを推奨しています。