Cisco IOS Secure ShellのDoS脆弱性

ダウンロード オプション

  • PDF     (414.5 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (85.8 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (78.6 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2008 年 5 月 21 日
Document ID:null-null

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

High

High

アドバイザリーID : cisco-sa-20080521-ssh
初公開日 : 2008-05-21 16:00
バージョン 1.1 : Final
CVSSスコア : 7.8
回避策 : No Workarounds available
Cisco バグ ID : CSCsk60020 CSCsh51293 CSCsk42419
 

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

概要

Cisco IOSのSecure Shell(SSH)サーバの実装には複数の脆弱性があり、認証されていないユーザが誤ったメモリアクセスエラーを生成したり、特定の状況ではデバイスをリロードしたりすることができます。

IOS SSHサーバは、デフォルトでは無効になっているオプションサービスですが、Cisco IOSデバイスを管理するためのセキュリティのベストプラクティスとして使用することを強くお勧めします。SSHは、IOSデバイスの初期設定のAutoSecure機能の一部として設定できます。AutoSecureは、初期設定の後に実行するか、または手動で実行できます。SSHは、httpセキュアサーバまたはデジタル証明書用のトラストポイントが設定されている場合など、RSAキーが生成されるたびに有効になります。SSH接続を受け入れるように設定されていないデバイスは、これらの脆弱性の影響を受けません。

この脆弱性には、Common Vulnerabilities and Exposures(CVE)識別子 CVE-2008-1159 が割り当てられています。

このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080521-ssh で公開されています。

該当製品

脆弱性のある製品

特定の12.4ベースのIOSリリースを実行し、SSHで管理するように設定されているシスコデバイスは、この問題に該当する可能性があります。

IOSセキュアシェルサーバは、デフォルトでは無効になっています。SSHが有効になっているかどうかを確認するには、show ip sshコマンドを使用します。

Router#show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 120 secs; Authentication retries: 3

上記の出力は、このデバイスでSSHが有効になっており、サポートされているSSHプロトコルのメジャーバージョンが2.0であることを示しています。「SSH Disabled」というテキストが表示された場合、そのデバイスは脆弱ではありません。IOSによって報告されるSSHプロトコルバージョンの可能な値は次のとおりです。

  • 1.5:SSHプロトコルバージョン1のみが有効
  • 1.99:SSHプロトコルバージョン1互換のSSHプロトコルバージョン2
  • 2.0:SSHプロトコルバージョン2のみが有効

IOSのSSHバージョンの詳細については、http://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gt_ssh2.htmlを参照してください。

SSHサーバは、すべてのIOSイメージで使用できるわけではありません。SSHをサポートしていないデバイスには脆弱性はありません。該当する具体的な 12.4 ベース IOS リリースについては、「ソフトウェア バージョンと修正」セクションの修正済みソフトウェアの表を参照してください。

Cisco 製品で稼働しているソフトウェアを確認するには、デバイスにログインし、show version コマンドを発行してシステム バナーを表示します。Cisco IOS ソフトウェアは「Internetwork Operating System Software」または単に「IOS」と表示されます。出力の次の行のカッコの間にイメージ名が表示され、続いて「Version」とIOSリリース名が表示されます。その他の Cisco デバイスには show version コマンドがないか、異なる出力が返されます。

次の例は、IOSリリース12.4(17)を実行しているシスコ製品を示しています。

Cisco IOS Software, C2600 Software (C2600-ADVENTERPRISEK9-M), Version 12.4(17),
RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Fri 07-Sep-07 16:05 by prod_rel_team

ROM: System Bootstrap, Version 12.2(8r) [cmong 8r], RELEASE SOFTWARE (fc1)

Router uptime is 1 week, 5 hours, 5 minutes
System returned to ROM by power-on
System image file is "flash:c2600-adventerprisek9-mz.124-17.bin"

Cisco IOS リリースの名前に関する詳細については、http://www.cisco.com/warp/public/620/1.html を参照してください。

脆弱性を含んでいないことが確認された製品

IOS が稼働していない Cisco デバイスは、この脆弱性には該当しません。

SSHサーバ機能が有効になっていないCisco IOSデバイスは影響を受けません。

IOS-XRおよびIOS-XEイメージは影響を受けません。

次の IOS リリース トレインは該当しません。

  • 10 ベースのリリース
  • 11 ベースのリリース
  • 12.0 ベースのリリース
  • 12.1 ベースのリリース
  • 12.2 ベースのリリース
  • 12.3 ベースのリリース

12.4(7)、12.4(13d)JA、および12.4(9)Tより前のIOSリリースは、この脆弱性の影響を受けません。

他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。

詳細

セキュアシェル(SSH)は、デバイスのリモートアクセスを可能にするtelnet、ftp、rlogin、rsh、およびrcpプロトコルに代わる安全なプロトコルとして開発されました。SSHと古いプロトコルの主な違いは、SSHは強力な認証を提供し、機密性を保証し、暗号化されたトランザクションを使用することです。

Cisco IOSのSSH実装のサーバ側には複数の脆弱性があり、認証されていないユーザがスプリアスメモリアクセスを生成したり、場合によってはデバイスをリロードしたりすることが可能です。攻撃者がデバイスをリロードできる場合、これらの脆弱性が繰り返し不正利用され、長時間にわたるDenial of Service(DoS)状態が発生する可能性があります。

SSHサーバが有効になっているデバイスには脆弱性が存在します。

これらの脆弱性は、Cisco Bug ID

回避策

IOS SSHサーバを無効にできない場合は、環境の一部のお客様に次の回避策が役立つ可能性があります。

Telnet

Telnetはこのアドバイザリで説明されている問題に対して脆弱ではなく、SSHに代わる安全でない手段として使用される可能性があります。Telnetは認証情報やデータを暗号化しません。そのため、信頼できるローカルネットワークに対してのみ有効にする必要があります。

VTYアクセスクラス

VTYアクセスクラスを適用して、既知の信頼できるホストだけにSSH経由でのデバイスへの接続を許可することで、シスコデバイスの公開を制限できます。

VTYへのトラフィック制限の詳細については、http://www.cisco.com/en/US/docs/ios/12_2/ipaddr/command/reference/1rfip1.html#wp1017389を参照してください。

次の例では、192.168.1.0/24ネットブロックと単一のIPアドレス172.16.1.2からのVTYへのアクセスを許可し、その他の場所からのアクセスは拒否しています。

Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)# access-list 1 permit host 172.16.1.2
Router(config)# line vty 0 4
Router(config-line)# access-class 1 in

サポートする端末回線数は、Ciscoプラットフォームによって異なります。デバイスの設定をチェックして、プラットフォームに適した端末回線数を確認します。

インフラストラクチャ ACL(iACL)

ネットワークを移動するトラフィックをブロックするのは往々にして困難ですが、インフラストラクチャ デバイスに送られてはならないトラフィックを識別し、ネットワークの境界でそのトラフィックをブロックすることは可能です。インフラストラクチャ ACL はネットワーク セキュリティのベスト プラクティスと考えられており、ここでの特定の脆弱性の回避策としてだけでなく、優れたネットワーク セキュリティへの長期的な付加機能として考慮する必要があります。以下に示すACLの例は、インフラストラクチャIPアドレス範囲内のIPアドレスを持つすべてのデバイスを保護するために配備されるインフラストラクチャアクセスリストの一部として含める必要があります。

Cisco IOS が稼働するデバイスのアクセス リストの例:


!--- Permit SSH services from trusted hosts destined 
!--- to infrastructure addresses.


access-list 150 permit tcp TRUSTED_HOSTS MASK INFRASTRUCTURE_ADDRESSES MASK eq 22


!--- Deny SSH packets from all other sources destined to infrastructure addresses.


access-list 150 deny   tcp any INFRASTRUCTURE_ADDRESSES MASK eq 22


!--- Permit all other traffic to transit the device.


access-list 150 permit IP any any

interface serial 2/0
  ip access-group 150 in

ホワイトペーパー『Protecting Your Core: Infrastructure Protection Access Control Lists』には、アクセスリストによるインフラストラクチャ保護のガイドラインと推奨される導入方法が記載されています。このホワイトペーパーは、http://www.cisco.com/en/US/tech/tk648/tk361/technologies_white_paper09186a00801a1a55.shtmlから入手できます。

コントロール プレーン ポリシング(CoPP)

コントロール プレーン ポリシング(CoPP)機能を使用すると、これらの脆弱性を緩和できる可能性があります。次の例では、信頼できるホストからのSSHトラフィックで、宛先IPアドレスが「receive」のトラフィックのみが、ルートプロセッサ(RP)への到達を許可されています。

注:不明なIPアドレスや信頼できないIPアドレスからのトラフィックを廃棄すると、動的にIPアドレスが割り当てられたホストがCisco IOSデバイスに接続できなくなることがあります。

access-list 152 deny   tcp TRUSTED_ADDRESSES MASK any eq 22
    access-list 152 permit tcp any any eq 22
    !
    class-map match-all COPP-KNOWN-UNDESIRABLE
     match access-group 152
    !
    !
    policy-map COPP-INPUT-POLICY
     class COPP-KNOWN-UNDESIRABLE
      drop
    !
    control-plane
     service-policy input COPP-INPUT-POLICY

上の CoPP の例では、「permit」アクションがあり悪用パケットと一致する ACL エントリがある場合、ポリシー マップの「drop」機能によってこれらのパケットは廃棄されますが、「deny」アクションと一致するパケットはポリシー マップ drop 機能の影響を受けません。

CoPP は、Cisco IOS リリース トレイン 12.0S、12.2SX、12.2S、12.3T、12.4、および 12.4T で使用できます。

CoPP機能の設定と使用方法の詳細については、http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6642/prod_white_paper0900aecd804fa16a.htmlを参照してください。

修正済みソフトウェア

アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。

Cisco IOS ソフトウェアの表(下掲)の各行には、リリース トレインとそれに対応するプラットフォームまたは製品が記載されています。特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース(「第 1 修正済みリリース」)とそれぞれの提供日が「リビルド」列と「メンテナンス」列に記載されます。特定の列に記されているリリースよりも古い(第 1 修正済みリリースより古い)トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。このようなリリースは、少なくとも、示されているリリース以上(最初の修正リリース ラベル以上)にアップグレードしてする必要があります。

「リビルド」および「メンテナンス」という用語の詳細については、次のURLを参照してください。http://www.cisco.com/warp/public/620/1.html

12.4(7)、12.4(13d)JA、および12.4(9)Tより前のIOSリリースは、この脆弱性の影響を受けません。

メジャー リリース

修正済みリリースの入手可能性

Affected 12.0-Based Releases

First Fixed Release(修正された最初のリリース)

推奨リリース

該当する 12.0 ベースのリリースはありません。

Affected 12.1-Based Releases

First Fixed Release(修正された最初のリリース)

推奨リリース

該当する 12.1 ベースのリリースはありません。

Affected 12.2-Based Releases

First Fixed Release(修正された最初のリリース)

推奨リリース

影響を受ける 12.2 ベースのリリースはありません。

Affected 12.3-Based Releases

First Fixed Release(修正された最初のリリース)

推奨リリース

該当する 12.3 ベースのリリースはありません。

Affected 12.4-Based Releases

First Fixed Release(修正された最初のリリース)

推奨リリース

12.4

12.4(13f)

12.4(16b)

12.4(17a)

12.4(18)

12.4(18b)

12.4JA

脆弱性が存在するのは12.4(13d)JAと12.4(13d)JA1だけです。他のすべての12.4JAリリースは影響を受けません。

12.4(16b)JA3

12.4JK

脆弱性なし

  

12.4JMA

脆弱性なし

  

12.4JMB

脆弱性なし

  

12.4JMC

脆弱性なし

  

12.4JX

脆弱性なし

  

12.4MD

脆弱性なし

  

12.4MR

12.4(16)MR2

12.4(16)MR

12.4SW

12.4(15)SW1

12.4(15)SW1

12.4T

12.4(9)T6

12.4(11)T4

12.4(15)T2

12.4(20)T

12.4(15)T5

12.4XA

脆弱性なし

  

12.4XB

脆弱性なし

  

12.4XC

脆弱性なし

  

12.4XD

脆弱性なし

  

12.4XE

脆弱性あり(最初の修正は12.4T)

12.4(15)T5

12.4XF

脆弱性あり(最初の修正は12.4T)

12.4(15)T5

12.4XG

脆弱性なし

  

12.4XJ

脆弱性あり(最初の修正は12.4T)

12.4(15)T5

12.4XK

脆弱性あり(最初の修正は12.4T)

12.4(15)T5

12.4XL

脆弱性なし

  

12.4XM

脆弱性なし

  

12.4XN

脆弱性なし

  

12.4XQ

脆弱性なし

  

12.4XT

脆弱性なし

  

12.4XV

脆弱性あり。TACに連絡

  

12.4XW

12.4(11)XW6

12.4(11)XW6

12.4XY

脆弱性なし

  

12.4XZ

脆弱性なし

  

推奨事項

$propertyAndFields.get("recommendations")

不正利用事例と公式発表

シスコでは、このバグに関連するカスタマーサポートケースが増加したため、このIOSアドバイザリを通常の年2回のサイクルからリリースする予定です。Cisco PSIRTは、悪意のある不正利用の報告を受け取っていません。

この脆弱性は、シスコ内部でのテストとカスタマーサービスリクエストによって発見されました。

URL

改訂履歴

リビジョン 1.1

2008年5月28日

コンテンツの変更点については、概要、脆弱性を含んでいないことが確認された製品、不正利用事例および公式発表を参照してください。

リビジョン 1.0

2008年5月21日

初回公開リリース

利用規約

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。