Critical
Critical
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco IOS FTP サーバ機能には複数の脆弱性があり、これらを悪用すると、サービス拒否(DoS)状態、ユーザ クレデンシャルの不適切な検証、およびデバイスに関する保存済み設定を含むデバイス ファイルシステムからの任意のファイルの取得または書き込みなどが発生する可能性があります。この設定ファイルには、パスワードなどの機密情報が含まれている場合があります。
IOS FTP サーバは、デフォルトでは無効になっているオプション サービスです。IOS FTP サーバサービスを有効にするよう特に設定されていないデバイスは、これらの脆弱性には該当しません。
この脆弱性は、IOS FTP クライアント機能には該当しません。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20070509-iosftp で公開されています。
該当製品
脆弱性のある製品
IOS が稼働していて、FTP サーバ機能が設定されている Cisco デバイスが、これらの脆弱性に該当します。
11.3、12.0、12.1、12.2、12.3、および 12.4 に基づく IOS バージョンには、IOS FTP サーバ機能が組み込まれています。IOS FTP サーバ機能は、CSCsg16908 で削除されています。
前述の IOS トレインに基づく特定の IOS リリースにのみ、IOS FTP サーバ機能が組み込まれています。Cisco IOS が稼働しているデバイスのうち、この脆弱性に該当するのは、次のコマンドをデバイス設定に含んでいるデバイスだけです。
ftp-server enable
脆弱性を含んでいないことが確認された製品
IOS が稼働していない Cisco デバイスは、この脆弱性には該当しません。
FTP サーバ機能が有効になっていない Cisco IOS デバイスは該当しません。
Cisco IOS XR は該当しません。
これらの脆弱性に該当するその他の Cisco デバイスは現在のところ見つかっていません。
詳細
IOS FTP サーバ機能には、複数の脆弱性があります。これらの脆弱性は、次の Cisco Bug ID に記述されています。
-
CSCek55259:Improper authorization checking in IOS FTP server
-
CSCse29244:IOS reload when transferring files via FTP
IOS の FTP サーバにはこのような問題があるため、この機能は削除されています。Cisco では、完全な機能を提供する安全な FTP サーバ機能を将来的に追加することを検討しています。
IOS FTP サーバ機能の削除に関しては、Cisco Bug ID CSCsg16908 で取り扱われています。
脆弱性スコア評価の詳細
Cisco では、Common Vulnerability Scoring System(CVSS)に基づき、このアドバイザリで説明されている脆弱性のスコアを評価しました。
Cisco では基本スコアと現状スコアを評価します。お客様はこれらを用いて環境評価スコア (Environmental Score) を算出し、個々のネットワークにおける脆弱性の影響度を導き出すことができます。
Cisco PSIRT は、すべてのケースにおける重みを「標準」に設定します。特定の脆弱性の環境的影響を判断する際には、重みパラメータを適用することを推奨します。
CVSS は、脆弱性の重大度を伝える標準ベースのスコア評価方式であり、対応の緊急度や優先度を判断するのに役立ちます。
シスコは、http://www.cisco.com/web/about/security/intelligence/cvss-qandas.htmlでCVSSに関するFAQを提供しています。
また、シスコは個々のネットワークにおける環境影響度を計算するCVSS計算ツールをhttps://sec.cloudapps.cisco.com/security/center/cvssCalculator.xで提供しています。
|
CSCek55259:Improper authorization checking in IOS FTP 環境スコアを計算する 0.CSCek55259 |
||||||
|---|---|---|---|---|---|---|
|
CVSS 基本スコア - 10 |
||||||
|
攻撃元区分 |
攻撃条件の複雑さ |
[Authentication] |
機密性への影響 |
完全性への影響 |
可用性への影響 |
影響の重み |
|
Remote |
低い |
不要 |
完了 |
完了 |
完了 |
Normal |
|
CVSS 現状スコア:8.3 |
||||||
|
攻撃される可能性 |
利用可能な対策のレベル |
Report Confidence |
||||
|
機能する |
Official-Fix |
確認済 |
||||
|
CSCse29244:IOS reload when transferring files via FTP 環境スコアを計算する 0.CSCse29244 |
||||||
|---|---|---|---|---|---|---|
|
CVSS 基本スコア:2.0 |
||||||
|
攻撃元区分 |
攻撃条件の複雑さ |
[Authentication] |
機密性への影響 |
完全性への影響 |
可用性への影響 |
影響の重み |
|
Remote |
低い |
Required |
なし |
なし |
完了 |
Normal |
|
CVSS 現状スコア:1.7 |
||||||
|
攻撃される可能性 |
利用可能な対策のレベル |
Report Confidence |
||||
|
機能する |
Official-Fix |
確認済 |
||||
回避策
次のコマンドをコンフィギュレーション モードで実行することにより、IOS FTP サーバ機能の使用を無効にできます。
no ftp-server enable
Cisco 機器に適用可能な追加の軽減策については以下の "Cisco Applied Intelligence companion document" より入手可能です。
代替ファイル転送メカニズム
Cisco IOS は、デバイスでのファイル転送に関して複数の方式をサポートしています。そのうちの 1 つが、Secure Copy(SCP)です。SCP は、強力な暗号化をサポートする Cisco IOS イメージでサポートされています。SCP の機能についての詳細は、次の URL で確認できます。
http://www.cisco.com/en/US/docs/ios/12_2t/12_2t2/feature/guide/ftscp.html
この他に、IOS の Trivial File Transfer Protocol(TFTP)サーバを使用する方法もあります。TFTP サーバの設定については、次のリンク先を参照してください。
IOS の FTP サーバを無効にできない場合には、次のいずれかのメカニズムを使用してデバイスへの FTP アクセスを制限できます。
インフラストラクチャ ACL(iACL)
ネットワークを移動するトラフィックをブロックするのは往々にして困難ですが、インフラストラクチャ デバイスに送られてはならないトラフィックを識別し、ネットワークの境界でそのトラフィックをブロックすることは可能です。インフラストラクチャ ACL はネットワーク セキュリティのベスト プラクティスと考えられており、ここでの特定の脆弱性の回避策としてだけでなく、優れたネットワーク セキュリティへの長期的な付加機能として考慮する必要があります。次に示す ACL の例は、インフラストラクチャ IP アドレス範囲内の IP アドレスを持つすべてのデバイスを保護するために配備されたインフラストラクチャ アクセス リストの一部として含める必要があります。
Cisco IOS が稼働するデバイスのアクセス リストの例:
!--- Permit FTP services from trusted hosts destined !--- to infrastructure addresses. access-list 150 permit tcp TRUSTED_HOSTS MASK INFRASTRUCTURE_ADDRESSES MASK eq 21 access-list 150 permit tcp TRUSTED_HOSTS MASK INFRASTRUCTURE_ADDRESSES MASK eq 20 !--- Deny FTP packets from all other sources destined to infrastructure addresses. access-list 150 deny tcp any INFRASTRUCTURE_ADDRESSES MASK eq 21 access-list 150 deny tcp any INFRASTRUCTURE_ADDRESSES MASK eq 20 !--- Permit all other traffic to transit the device. access-list 150 permit IP any any interface serial 2/0 ip access-group 150 in
ホワイトペーパー『Protecting Your Core: Infrastructure Protection Access Control Lists』には、アクセスリストによるインフラストラクチャ保護のガイドラインと推奨される導入方法が記載されています。このホワイトペーパーは、http://www.cisco.com/en/US/tech/tk648/tk361/technologies_white_paper09186a00801a1a55.shtmlから入手できます。
受信ACL(rACL)
分散型のプラットフォームにおいては、Cisco12000 シリーズ(GSR) では 12.0(21)S2、 Cisco7500 シリーズでは 12.0(24)S、Cisco10720 シリーズでは 12.0(31)S の IOS ソフトウェアにてサポートされている Receive ACL も選択肢となります。受信 ACL は、ルート プロセッサが有害なトラフィックの影響を受ける前に、そのトラフィックからデバイスを保護します。受信 ACL は、それが設定されたデバイスのみを保護する設計になっています。Cisco 12000, 7500, 10720 では通過トラフィックは Receive ACL による影響を受けません。このため、以下の ACL の例において宛先 IP アドレス "any" が用いられても、自ルータの物理あるいは仮想 IP アドレスのみが参照されます。受信 ACL はネットワーク セキュリティのベスト プラクティスと考えられており、ここでの特定の脆弱性の回避策としてだけでなく、優れたネットワーク セキュリティへの長期的な付加機能として考慮する必要があります。ホワイトペーパー『GSR: Receive Access Control Lists』には、デバイスへの正当なトラフィックを識別して許可し、望ましくないパケットをすべて拒否する方法が記載されています。http://www.cisco.com/en/US/tech/tk648/tk361/technologies_white_paper09186a00801a0a5e.shtml。
次の receive path ACL は信頼できるホストからのこのようなタイプのトラフィックを許可するように記述されています。
!--- Permit FTP from trusted hosts allowed to the RP. access-list 151 permit tcp TRUSTED_ADDRESSES MASK any eq 21 access-list 151 permit tcp TRUSTED_ADDRESSES MASK any eq 20 !--- Deny FTP from all other sources to the RP. access-list 151 deny tcp any any eq 21 access-list 151 deny tcp any any eq 20 !--- Permit all other traffic to the RP. !--- according to security policy and configurations. access-list 151 permit ip any any !--- Apply this access list to the 'receive' path. ip receive access-list 151
コントロール プレーン ポリシング(CoPP)
コントロール プレーン ポリシング(CoPP)機能を使用すると、これらの脆弱性を緩和できる可能性があります。次の例では、信頼できるホストが送信元であり、宛先 IP アドレスが「receive」である FTP トラフィックのみがルート プロセッサ(RP)に到達できます。
不明な IP アドレスや信頼できない IP アドレスからのトラフィックを廃棄することにより、Cisco IOS デバイスへの接続で IP アドレスが動的に割り当てられたホストには影響が及ぶ可能性がある点に注意してください。
access-list 152 deny tcp TRUSTED_ADDRESSES MASK any eq 21
access-list 152 deny tcp TRUSTED_ADDRESSES MASK any eq 20
access-list 152 permit tcp any any eq 20
access-list 152 permit tcp any any eq 21
access-list 152 deny ip any any
!
class-map match-all COPP-KNOWN-UNDESIRABLE
match access-group 152
!
!
policy-map COPP-INPUT-POLICY
class COPP-KNOWN-UNDESIRABLE
drop
!
control-plane
service-policy input COPP-INPUT-POLICY
上の CoPP の例では、「permit」アクションがあり悪用パケットと一致する ACL エントリがある場合、ポリシー マップの「drop」機能によってこれらのパケットは廃棄されますが、「deny」アクションと一致するパケットはポリシー マップ drop 機能の影響を受けません。
CoPP は、Cisco IOS リリース トレイン 12.0S、12.2SX、12.2S、12.3T、12.4、および 12.4T で使用できます。
CoPP 機能の設定と使用方法についての詳細は、次の URL で確認できます。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
Cisco IOS ソフトウェアの表(下掲)の各行には、リリース トレインが記載されています。特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース(「第 1 修正済みリリース」)とそれぞれの提供日が「リビルド」列と「メンテナンス」列に記載されます。特定の列に記されているリリースよりも古い(第 1 修正済みリリースより古い)トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。このようなリリースは、少なくとも、示されているリリース以上(最初の修正リリース ラベル以上)にアップグレードしてする必要があります。
下の表に記載されていないソフトウェア リリースは該当しません。
「リビルド」および「メンテナンス」という用語の詳細については、次のURLを参照してください。http://www.cisco.com/warp/public/620/1.html
|
メジャー リリース |
修正済みリリースの入手可能性 |
|
|---|---|---|
|
該当する 12.0 ベースのリリース |
リビルド |
メンテナンス |
|
12.0 |
脆弱性あり、12.2(40a)以降に移行 |
|
|
12.0T |
脆弱性あり、12.2(40a)以降に移行 |
|
|
12.0XC |
脆弱性あり、12.2(40a)以降に移行 |
|
|
12.0XK |
脆弱性あり、12.2(40a)以降に移行 |
|
|
12.0WC |
12.0(5)WC17 |
|
|
該当する 12.1 ベースのリリース |
リビルド |
メンテナンス |
|
12.1 |
脆弱性あり、12.2(40a)以降に移行 |
|
|
12.1T |
脆弱性あり、12.2(40a)以降に移行 |
|
|
12.1XH |
脆弱性あり、12.2(40a)以降に移行 |
|
|
12.1XM |
脆弱性あり、12.3(21)以降に移行 |
|
|
該当する 12.2 ベースのリリース |
リビルド |
メンテナンス |
|
12.2 |
12.2(40a) |
12.2(46) |
|
12.2T |
脆弱性あり、12.3(21)以降に移行 |
|
|
12.2XA |
脆弱性あり、12.3(21)以降に移行 |
|
|
12.2XG |
脆弱性あり、12.3(21)以降に移行 |
|
|
12.2XT |
脆弱性あり、12.3(21)以降に移行 |
|
|
12.2ZF |
脆弱性あり、12.4(12)以降に移行 |
|
|
12.2ZH |
脆弱性あり。TACに連絡 |
|
|
12.2ZJ |
脆弱性あり、12.4(12)以降に移行 |
|
|
12.2ZL |
脆弱性あり。TACに連絡 |
|
|
12.2ZN |
脆弱性あり、12.4(12)以降に移行 |
|
|
該当する 12.3 ベースのリリース |
リビルド |
メンテナンス |
|
12.3 |
12.3(21) |
|
|
12.3B |
脆弱性あり、12.4(12)以降に移行 |
|
|
12.3T |
脆弱性あり、12.4(12)以降に移行 |
|
|
12.3TPC |
脆弱性あり。TACに連絡 |
|
|
12.3XA |
脆弱性あり。TACに連絡 |
|
|
12.3XC |
脆弱性あり。TACに連絡 |
|
|
12.3XD |
脆弱性あり、12.4(12)以降に移行 |
|
|
12.3XE |
脆弱性あり。TACに連絡 |
|
|
12.3XF |
脆弱性あり、12.4(12)以降に移行 |
|
|
12.3XG |
脆弱性あり。TACに連絡 |
|
|
12.3XH |
脆弱性あり、12.4(12)以降に移行 |
|
|
12.3XK |
脆弱性あり、12.4(12)以降に移行 |
|
|
12.3XQ |
脆弱性あり、12.4(12)以降に移行 |
|
|
12.3XR |
脆弱性あり。TACに連絡 |
|
|
12.3XS |
脆弱性あり、12.4(12)以降に移行 |
|
|
12.3XX |
12.3(8)XX2d |
|
|
12.3YA |
脆弱性あり、12.4(12)以降に移行 |
|
|
12.3YD |
脆弱性あり、12.4(11)T以降に移行 |
|
|
12.3YG |
脆弱性あり、12.4(11)T以降に移行 |
|
|
12.3YH |
脆弱性あり、12.4(11)T以降に移行 |
|
|
12.3YI |
脆弱性あり、12.4(11)T以降に移行 |
|
|
12.3YK |
脆弱性あり、12.4(11)T以降に移行 |
|
|
12.3YM |
脆弱性あり。TACに連絡 |
|
|
12.3YS |
脆弱性あり、12.4(11)T以降に移行 |
|
|
12.3YT |
脆弱性あり、12.4(11)T以降に移行 |
|
|
12.3YZ |
脆弱性あり。TACに連絡 |
|
|
該当する 12.4 ベースのリリース |
リビルド |
メンテナンス |
|
12.4 |
12.4(10b) |
|
|
12.4(3g) |
||
|
12.4(7d) |
||
|
12.4(8c) |
12.4(12) |
|
|
12.4SW |
脆弱性あり。TACに連絡 |
|
|
12.4T |
12.4(4)T6 |
|
|
12.4(6)T6 |
||
|
12.4(9)T2 |
12.4(11)T |
|
|
12.4XA |
脆弱性あり、12.4(6)T6以降に移行 |
|
|
12.4XC |
12.4(4)XC6 |
|
|
12.4XD |
12.4(4)XD4 |
|
|
12.4XE |
12.4(6)XE2 |
|
推奨事項
不正利用事例と公式発表
2008年12月、PhenoelitのFXはカオス通信会議で「Cisco IOS attack and defense」というタイトルのプレゼンテーションを行い、この脆弱性を利用したエクスプロイトを考案したと主張しました。2008年のChaos Communication CongressでのFXのプレゼンテーションでは、新しい脆弱性は公開されませんでした。
http://events.ccc.de/congress/2008/Fahrplan/events/2816.en.html
シスコでは、この脆弱性の悪用に関する情報を入手していません。
URL
改訂履歴
|
リビジョン 1.4 |
2009年1月9日 |
2008年12月のChaos Communication Conferenceで学習した情報を反映するために、「エクスプロイトと公表」セクションを更新。 |
|
リビジョン 1.3 |
2008年5月14日 |
「回避策」>「ACLの受信」セクションを更新。 |
|
リビジョン 1.2 |
2008年4月25日 |
CSCek55259およびCSCse29244のCVSSスコアへのリンクを更新。 |
|
リビジョン 1.1 |
2007 年 5 月 9 日 |
軽微な文法上とスタイル上の編集 |
|
リビジョン 1.0 |
2007 年 5 月 9 日 |
初版リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。