Cisco Catalyst 6000、6500 シリーズおよび Cisco 7600 シリーズ NAM(Network Analysis Module)の脆弱性

ダウンロード オプション

  • PDF     (393.2 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (87.5 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (73.9 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2007 年 2 月 28 日
Document ID:null-null

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

Critical

Critical

アドバイザリーID : cisco-sa-20070228-nam
初公開日 : 2007-02-28 16:00
バージョン 1.1 : Final
CVSSスコア : 10.0
回避策 : No Workarounds available
Cisco バグ ID : CSCsd75273 CSCse52951
 

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

概要

Network Analysis Module がインストールされている Cisco Catalyst 6000、6500 シリーズ、および Cisco 7600 シリーズには脆弱性があります。この脆弱性が悪用されると、攻撃者がシステムの完全制御を取得できる可能性があります。この脆弱性に該当するのは、NAM がインストールされている Cisco Catalyst システムのみです。この脆弱性は Internetwork Operating System(IOS)または Catalyst Operating System(CatOS)を実行しているシステムに該当します。

シスコでは、該当するお客様用に、この脆弱性に対応する無償ソフトウェアを提供しております。

このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20070228-nam で公開されています。

該当製品

脆弱性のある製品

この脆弱性は、NAM がインストールされている Catalyst 6000、6500 シリーズ、および Cisco 7600 シリーズに該当します。NAM がインストールされているシステムは、show module コマンドによって確認できます。この出力では、NAM が WS-SVC-NAM-1、WS-SVC-NAM-2、または WS-X6380-NAM として表示されています。

この脆弱性は、IOS または CatOS を実行しているシステムに該当します。

次に、NAM-2 がインストールされているシステムの出力例を示します。

Cat6k#show module
Mod Ports Card Type                              Model              Serial No.
--- ----- -------------------------------------- ------------------ -----------
  1    2  Catalyst 6000 supervisor 2 (Active)    WS-X6K-SUP2-2GE    SAL06417E23
  3   48  48 port 10/100 mb RJ-45 ethernet       WS-X6248-RJ-45     SAD050108R4
  5    8  8 port 1000mb ethernet                 WS-X6408-GBIC      SAD041300CL
  6    8  Network Analysis Module                WS-SVC-NAM-2       SAD093002AM

脆弱性を含んでいないことが確認された製品

この脆弱性に該当するその他の Cisco 製品は現在のところ見つかっていません。

詳細

NAM は、Remote Monitoring(RMON)、RMON2、およびその他の MIB を使用してネットワーク トラフィックを監視および分析するために、Catalyst 6000、6500 シリーズ、および Cisco 7600 シリーズに配備されます。NAM についての詳細は、次の URL を参照してください。

http://www.cisco.com/en/US/products/hw/switches/ps708/products_module_configuration_guide_chapter09186a0080394e09.html

NAM は Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)を使用して、Catalyst システムと通信します。攻撃者は Catalyst システムと NAM の間の SNMP 通信をスプーフィングすることによって、Catalyst システムの完全な制御権を取得できる可能性があります。

Cisco IOS と Cisco CatOS の両方が稼働するデバイスは、この脆弱性に該当します。この脆弱性は、CatOS リリース 7.6(15) および 8.5(1) で取り込まれたものです。この脆弱性は、それ以前の CatOS イメージには含まれていません。

この問題は、Bug ID CSCsd75273(登録ユーザ専用)、IOSの場合はCSCse52951(登録ユーザ専用)、CatOSの場合はCSCse39848(登録ユーザ専用)に記述されています。

脆弱性スコア評価の詳細

Cisco では、Common Vulnerability Scoring System(CVSS)に基づき、このアドバイザリで説明されている脆弱性のスコアを評価しました。Cisco では基本スコアと現状スコアを評価します。お客様はこれらを用いて環境評価スコア (Environmental Score) を算出し、個々のネットワークにおける脆弱性の影響度を導き出すことができます。

Cisco PSIRT は、すべてのケースにおける重みを「標準」に設定します。特定の脆弱性の環境的影響を判断する際には、重みパラメータを適用することを推奨します。

CVSS は、脆弱性の重大度を伝える標準ベースのスコア評価方式であり、対応の緊急度や優先度を判断するのに役立ちます。

シスコは、http://www.cisco.com/web/about/security/intelligence/cvss-qandas.htmlでCVSSに関するFAQを提供しています。

また、シスコは個々のネットワークにおける環境影響度を計算するCVSS計算ツールをhttps://sec.cloudapps.cisco.com/security/center/cvssCalculator.xで提供しています

CSCsd75273:Cat6k NAM vulnerability(登録ユーザ専用)CSCsd75273の環境スコアを計算する

CVSS 基本スコア - 10

攻撃元区分

攻撃条件の複雑さ

[Authentication]

機密性への影響

完全性への影響

可用性への影響

影響の重み

Remote

低い

不要

完了

完了

完了

Normal

CVSS 現状スコア:8.3

攻撃される可能性

利用可能な対策のレベル

Report Confidence

機能する

正式

確認済

CSCse52951:Catk NAM vulnerability, additional protection(登録ユーザ専用)CSCse52951の環境スコアを計算する

CVSS 基本スコア - 10

攻撃元区分

攻撃条件の複雑さ

[Authentication]

機密性への影響

完全性への影響

可用性への影響

影響の重み

Remote

低い

不要

完了

完了

完了

Normal

CVSS 現状スコア:8.3

攻撃される可能性

利用可能な対策のレベル

Report Confidence

機能する

正式

確認済

CSCse39848:Cat6k NAM vulnerability in CatOS(登録ユーザ専用)CSCse39848の環境スコアを計算する

CVSS 基本スコア - 10

攻撃元区分

攻撃条件の複雑さ

[Authentication]

機密性への影響

完全性への影響

可用性への影響

影響の重み

Remote

低い

不要

完了

完了

完了

Normal

CVSS 現状スコア:8.3

攻撃される可能性

利用可能な対策のレベル

Report Confidence

機能する

正式

確認済

回避策

この脆弱性に対しては回避策がありません。

攻撃者がこの脆弱性を悪用するには、NAM の IP アドレスから SNMP パケットをスプーフィングする必要があります。該当するデバイスへの SNMP トラフィックをフィルタリングすることによって、問題を緩和できます。該当するデバイス上でスプーフィングされたパケットをフィルタリングしても効果はないので、SNMP トラフィックのフィルタリングは、該当するデバイスの前に配備されたシステム上で行う必要があります。

また、潜在的な緩和テクニックとして、アンチスプーフィング対策とインフラストラクチャ アクセスリストをネットワーク エッジに配備することもできます。インフラストラクチャを保護するために Cisco ルータで ACL を適用する方法の例については、http://www.cisco.com/warp/public/707/iacl.html を参照してください。

ネットワーク内部の Cisco のデバイスに展開できる追加の緩和策については、このアドバイザリに関連する Cisco 適用対応策速報(https://sec.cloudapps.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20070228-nam)を参照してください。

修正済みソフトウェア

アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。

Cisco IOS ソフトウェアの表(下掲)の各行には、リリース トレインとそれに対応するプラットフォームまたは製品が記載されています。特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース(「第 1 修正済みリリース」)とそれぞれの提供日が「リビルド」列と「メンテナンス」列に記載されます。特定の列に記されているリリースよりも古い(第 1 修正済みリリースより古い)トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。このようなリリースは、少なくとも、示されているリリース以上(最初の修正リリース ラベル以上)にアップグレードしてする必要があります。

「リビルド」および「メンテナンス」という用語の詳細については、次のURLを参照してください。http://www.cisco.com/warp/public/620/1.html

メジャー リリース

修正済みリリースの入手可能性

該当する 12.1 ベースのリリース

リビルド

メンテナンス

12.1E

12.1(26)E8

  

12.1(27b)E1

  

12.1EX

12.1(12c)EX

12.1(13)EX

該当する 12.2 ベースのリリース

リビルド

メンテナンス

12.2EU

脆弱性あり、12.2(25)EWA7以降に移行

12.2EW

脆弱性あり、12.2(25)EWA7以降に移行

12.2EWA

  

12.2(25)EWA7

12.2IXA

脆弱性あり、12.2(18)IXB2以降に移行

12.2IXB

12.2(18)IXB2

  

12.2S

12.2(14)S3

  

12.2(18)S5

12.2(20)S

12.2SG

12.2(25)SG1

  

12.2SGA

12.2(31)SGA1

  

12.2SRA

12.2(33)SRA2

  

12.2SX

脆弱性あり、12.2(18)SXD7a以降に移行

12.2SXA

脆弱性あり、12.2(18)SXD7a以降に移行

12.2SXB

脆弱性あり、12.2(18)SXD7a以降に移行

12.2SXD

12.2(18)SXD7a

  

12.2SXE

12.2(18)SXE6a

  

12.2SXF

12.2(18)SXF5

  

12.2SY

脆弱性あり、12.2(18)SXD7a以降に移行

12.2ZA

脆弱性あり、12.2(18)SXD7a以降に移行

12.2ZU

12.2(18)ZU1

  

CatOS リリース

修正済みリリースの入手可能性

Interim

メンテナンス

5.x

脆弱性なし

6.x

脆弱性なし

7.6(1) ~ 7.6(14)

脆弱性なし

7.6(15) ~ 7.6(19)

7.6(19.2)

7.6(20) 2007 年 3 月 21 日に入手可能

8.5(1) ~ 8.5(5)

8.5(5.3)

8.5(6)

8.6(x)

脆弱性なし

推奨事項

$propertyAndFields.get("recommendations")

不正利用事例と公式発表

Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。

この脆弱性はシスコ内部で発見されました。

URL

改訂履歴

リビジョン 1.1

2007 年 3 月 15 日

CatOS リリース 7.6(20) の入手可能日を更新

リビジョン 1.0

2007 年 2 月 28 日

初回公開リリース

利用規約

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。