Cisco VLANトランキングプロトコルの脆弱性

これは、2006年9月13日にhttp://www.securityfocus.com/archive/1/445896/30/0/threadedで公開されたPhenoelitのFXによって公開されたアドバイザリで、「Cisco Systems IOS VTP multiple vulnerabilities」というタイトルのシスコの回答です。

これらの脆弱性を報告していただいたFXおよびPhenoelit Groupに感謝いたします。

シスコは、研究者と協力してセキュリティ脆弱性に関する調査を行い、シスコ製品に対するセキュリティ脆弱性レポートの作成を支援する機会を得たことを非常に感謝しています。

これらの脆弱性は、Cisco Bug ID

• CSCsd52629(登録ユーザ専用)、CSCsd34759(登録ユーザ専用):VTPバージョンフィールドDoS
• CSCse40078(登録ユーザ専用)、CSCse47765(登録ユーザ専用):VTPリビジョンでの整数ラップ
• CSCsd34855(登録ユーザ専用)、CSCei54611(登録ユーザ専用):VTP VLAN名のバッファオーバーフロー
• CSCsg03449(登録ユーザ専用):EtherswitchモジュールのVLANトランキングプロトコルの脆弱性

追加情報

VLAN Trunking Protocol(VTP)は、VLANの追加、削除、および名前の変更をネットワーク全体で管理することによって、VLAN設定の一貫性を維持するレイヤ2メッセージングプロトコルです。1台のVTPサーバで新しいVLANを設定すると、VLAN設定情報はドメイン内のすべてのスイッチを通じてVTPプロトコルを介して配布されます。これにより、同一の VLAN を複数の箇所で設定する必要が減少します。VTPはシスコ独自のプロトコルであり、Cisco IOSとCisco CatOSシステムソフトウェアの両方で、ほとんどのCisco Catalystシリーズ製品で使用できます。

これらの脆弱性の影響を受ける製品：

• 該当するバージョンのCisco IOS^®ソフトウェアが稼働し、VTP動作モードが「サーバ」または「クライアント」のいずれかであるスイッチは、この3つの脆弱性の影響を受けます。
• 「サーバ」または「クライアント」としてVTP動作モードを持つCisco CatOSの該当バージョンが稼働するスイッチは、「VTPリビジョンでの整数ラップ」の脆弱性の影響のみを受けます。
• VTP動作モードが「サーバ」または「クライアント」のいずれかであるCisco 1800/2600/2800/3600/3700/3800シリーズルータ用イーサネットスイッチモジュールは、この3つの脆弱性の影響を受けます。

これらの脆弱性の影響を受けない製品：

• VTP動作モードを「トランスペアレント」に設定したスイッチ
• 「サーバ」または「クライアント」としてVTP動作モードが設定されたCatOSが稼働するスイッチは、「VTP VLAN名のバッファオーバーフロー」または「VTPバージョンのフィールドDoS」の脆弱性の影響を受けません

スイッチのVTPモードを確認するには、デバイスにログインし、IOSデバイスでshow vtp statusコマンドを発行するか、CatOSデバイスでshow vtp domainコマンドを発行します。VTP動作モードとして「server」または「client」が表示されるスイッチは、これらの脆弱性の影響を受けます。

「サーバ」モードで動作するVTPを備えたCisco IOSソフトウェアの例を次に示します。

ios_switch#show vtp status  
VTP Version                     : 2
Configuration Revision          : 0
Maximum VLANs supported locally : 1005
Number of existing VLANs        : 5
VTP Operating Mode              : Server
VTP Domain Name                 : test
VTP Pruning Mode                : Disabled
VTP V2 Mode                     : Enabled
VTP Traps Generation            : Disabled
MD5 digest                      : <removed> 
Configuration last modified by 0.0.0.0 at 3-1-93 04:02:09
ios_switch#

「サーバ」モードで動作するVTPを備えたCisco CatOSの例を次に示します。

catos_switch> (enable) show vtp domain
Version      : running VTP1 (VTP3 capable)
Domain Name  : test              Password  : not configured
Notifications: disabled          Updater ID: 0.0.0.0
    
Feature        Mode           Revision
-------------- -------------- -----------
VLAN           Server         2          

Pruning             : disabled
VLANs prune eligible: 2-1000
catos_switch> (enable)

[VTPバージョン(VTP Version)]フィールドのDoS
Cisco IOSソフトウェアの特定のバージョンのVTP機能は、ローカルネットワークセグメントから送信される巧妙に細工されたパケットに対して脆弱な場合があり、これがサービス妨害(DoS)状態を引き起こす可能性があります。スイッチが特別に巧妙に細工されたサマリーパケットを受信すると、スイッチはソフトウェア強制クラッシュ例外でリセットされます。プロセスVLAN Managerの「watchdog timeout」または「CPU hog」のいずれかのメッセージは、スイッチによって生成されたsyslogメッセージ内で、ソフトウェアがリセットされる前に表示されます。トランクが有効なポートでパケットを受信する必要があります。

CatOSが稼働するスイッチは、この脆弱性の影響を受けず、ログメッセージが表示されます

"%VTP-2-RXINVSUMMARY:rx invalid summary from [port number]"

特別に巧妙に細工された要約パケットを受信する必要があります。

この脆弱性に対する回避策はありません。

VTPドメインパスワードが設定されたスイッチは、引き続きこの脆弱性の影響を受けます。

CSCsd52629(登録ユーザ専用)またはCSCsd34759(登録ユーザ専用)の修正が含まれているCisco IOSソフトウェアのバージョンにアップグレードすることをお勧めします。

VTP VLAN名のバッファオーバーフロー
Cisco IOSソフトウェアの特定のバージョンのVTP機能は、バッファオーバーフロー状態および任意のコードの実行の可能性に対して脆弱です。100文字を超えるVLAN名を含むType-Length-Value(TLV)を持つVTP要約アドバタイズメントを受信すると、受信スイッチは「Unassigned Exception」エラーでリセットされます。トランクが有効なポートで、一致するドメイン名と一致するVTPドメインパスワード（設定されている場合）を使用して、パケットを受信する必要があります。

VTPドメインのパスワードをVTPドメインに適用すると、スプーフィングされたVTP要約アドバタイズメントメッセージによって誤ったVLAN名がアドバタイズされるのを防ぐことができます。VTPドメインパスワードの設定の詳細については、http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3560/software/release/12-2_52_se/configuration/guide/3560scg/swvtp.html#wp1035165を参照してください。

VTPリビジョンでの整数ラップ
Cisco IOSソフトウェアおよびCisco CatOSソフトウェアの特定のバージョンのVTP機能では、整数のラップにより、統計カウンタが負の数として表示されます。VTPドメイン内で変更が行われなければ、通常のVTP動作が発生します。スイッチの追加またはVTPサーバ設定リビジョンのリセットにより、VTP更新がドメイン内の他のVTPサーバ/クライアントで処理されない可能性があります。スイッチがこの脆弱性の影響を受ける場合は、次に示す回復手順を実行する必要があります。VTP設定リビジョンが0x7FFFFFFFを超えると、show vtp status（IOSデバイスの場合）またはshow vtp domain（CatOSデバイスの場合）でのVTP設定リビジョンの出力は、負の数として表示されます。スイッチの動作には影響しませんが、VLANデータベースへのさらなる変更がVTPドメイン全体に正しく伝搬されない可能性があります。

設定リビジョンの変更を含む巧妙に細工されたVTPパケットは、一致するドメイン名と一致するVTPドメインパスワード（設定されている場合）を持つトランク対応ポートで受信される必要があります。

Cisco IOSの例：

ios_switch#show vtp status
VTP Version                     : 2
Configuration Revision          : -2147483648
Maximum VLANs supported locally : 1005
Number of existing VLANs        : 17
VTP Operating Mode              : Client
VTP Domain Name                 : psirt
VTP Pruning Mode                : Disabled
VTP V2 Mode                     : Disabled
VTP Traps Generation            : Disabled
MD5 digest                      : <removed>
Configuration last modified by 0.0.0.0 at 3-1-93 00:10:07
ios_switch#

catos_switch# (enable) show vtp domain
Version      : running VTP1 (VTP3 capable)
Domain Name  : psirt             Password  : not configured
Notifications: disabled          Updater ID: 0.0.0.0

Feature        Mode           Revision
-------------- -------------- -----------
VLAN           Server         -2147483648

Pruning             : disabled
VLANs prune eligible: 2-1000

VTPの詳細については、http://www.cisco.com/en/US/tech/tk389/tk689/technologies_tech_note09186a0080094c52.shtmlを参照してください。

レイヤ2のセキュリティ対策の詳細については、http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns128/networking_solutions_white_paper09186a008014870f.shtml#wp998892を参照してください。

シスコのセキュリティ手順

シスコ製品のセキュリティの脆弱性に関するレポート、セキュリティ障害に対する支援、およびシスコからのセキュリティ情報を受信するための登録に関するすべての情報は、シスコのワールドワイド ウェブサイト https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html から入手できます。この情報には、シスコのセキュリティ通知に関して、報道機関が問い合せる場合の説明も含まれています。すべての Cisco セキュリティ アドバイザリは、http://www.cisco.com/go/psirt から入手できます。

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。