Cisco 10000、uBR10012、uBR7200シリーズデバイスのIPC脆弱性

Cisco 10000、uBR10012、およびuBR7200シリーズのデバイスは、外部から到達可能なユーザデータグラムプロトコル(UDP)ベースのプロセス間通信(IPC)チャネルを使用します。攻撃者は、この脆弱性を不正利用して該当デバイスにサービス拒否(DoS)状態を引き起こす可能性があります。他のプラットフォームは影響を受けません。

シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。この脆弱性に対しては回避策があります。

このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-ipc で公開されています。

注：2008年9月24日のIOSアドバイザリバンドル公開には12件のSecurity Advisoryが含まれています。11件のアドバイザリはCisco IOSソフトウェアの脆弱性に対処するもので、1件はCisco Unified Communications Managerの脆弱性に対処するものです。各アドバイザリには、このアドバイザリで説明されている脆弱性を修正するリリースが記載されています。

各ドキュメントへのリンクは次のとおりです。

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-iosips
  
• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-ssl
  
• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-sip
  
• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-cucm
  
• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-vpn
  
• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-mfi
  
• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-ubr
  
• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-multicast
  
• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-sccp
  
• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-iosfw
  
• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-l2tp
  

Cisco 10000、uBR10012、およびuBR7200シリーズのデバイスは、UDPベースのIPCチャネルを使用します。このチャネルは、127.0.0.0/8の範囲とUDPポート1975からのアドレスを使用します。該当するバージョンのCisco IOSを実行しているCisco 10000、uBR10012、およびuBR7200シリーズデバイスでは、デバイスの外部からUDPポート1975に送信されるIPCメッセージが処理されます。この動作は、攻撃者によってデバイス、ラインカード、またはその両方のリロードが引き起こされ、DoS状態が発生する可能性があります。

127.0.0.0/8またはUDPポート1975宛ての不正なトラフィックをフィルタリングすることで、この脆弱性を軽減できます。

この脆弱性は、Cisco Bug ID CSCsg15342（登録ユーザ専用）およびCSCsh29217(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2008-3805が割り当てられています。

回避策は、127.0.0.0/8の範囲に送信されるパケットのフィルタリングと、ポート1975に送信されるUDPパケットで構成されます。

インターフェイスアクセスコントロールリストの使用

ポート1975宛てのUDPパケットをフィルタリングするアクセスリストを使用すると、この脆弱性を緩和できます。UDPポート1975は、特定のアプリケーションで使用できる登録済みのポート番号です。ただし、UDPポート1975宛てのすべてのパケットをフィルタリングすると、一部のアプリケーションが誤動作する可能性があります。したがって、アクセスリストは、任意のルータインターフェイスのIPアドレスに送信されるUDP 1975パケットを明示的に拒否し、通過トラフィックを許可する必要があります。このようなアクセスリストを有効にするには、すべてのインターフェイスに適用する必要があります。IPCチャネルは127.0.0.0/8の範囲のアドレスを使用するため、この範囲を送信元または宛先とするパケットをフィルタリングする必要もあります。次に例を示します。

access-list 100 deny udp any host <router-interface 1> eq 1975
access-list 100 deny udp any host <router-interface 2> eq 1975
access-list 100 deny udp any host <router-interface ...> eq 1975
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 deny ip any 127.0.0.0 0.255.255.255
access-list 100 permit ip any any

interface Serial 0/0
  ip access-group 100 in

コントロールプレーンポリシングの使用

コントロールプレーンポリシング(CoPP)を使用すると、信頼できないUDPポート1975から該当デバイスへのアクセスをブロックできます。CoPP機能は、Cisco IOSソフトウェアリリース12.2BCおよび12.2SCAでサポートされています。デバイスに CoPP を設定して、管理プレーンとコントロール プレーンを保護し、既存のセキュリティ ポリシーおよび設定に従って、インフラストラクチャのデバイスに送信される承認されたトラフィックだけを明示的に許可することで、インフラストラクチャへの直接攻撃のリスクと効果を最小限に抑えることができます。次の例をネットワークに適用できます。

注：CoPPはuBR10012シリーズデバイスではサポートされていません。

!-- Permit all UDP/1975 traffic so that it
!-- will be policed and dropped by the CoPP feature

!
access-list 111 permit udp any any eq 1975
access-list 111 permit ip any 127.0.0.0 0.255.255.255
access-list 111 permit ip 127.0.0.0 0.255.255.255 any
!

!-- Permit (Police or Drop)/Deny (Allow) all other Layer 3 and
!-- Layer 4 traffic in accordance with existing security policies
!-- and configurations for traffic that is authorized to be sent
!-- to infrastructure devices

!

!-- Create a Class-Map for traffic to be policed by the CoPP
!-- feature

!
class-map match-all drop-IPC-class
  match access-group 111
!

!-- Create a Policy-Map that will be applied to the Control-Plane
!-- of the device

!
policy-map drop-IPC-traffic
  class drop-IPC-class
    drop
!

!-- Apply the Policy-Map to the Control-Plane of the device

!
control-plane
  service-policy input drop-IPC-traffic
!

上記のCoPPの例では、access control list entries（ACE；アクセスコントロールリストエントリ）の潜在的な悪用パケットに「permit」アクションが一致する場合、これらのパケットはポリシーマップの「drop」機能によって廃棄されますが、「deny」アクション（非表示）に一致するパケットは、ポリシーマップのdrop機能の影響を受けません。

Cisco IOS 12.2Sトレインと12.0Sトレインでは、ポリシーマップの構文が異なることに注意してください。

!
policy-map drop-IPC-traffic class drop-IPC-class
  police 32000 1500 1500 conform-action drop exceed-action drop
!

CoPP機能の設定と使用方法の詳細については、http://www.cisco.com/web/about/security/intelligence/coppwp_gs.html、http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6642/prod_white_paper0900aecd804fa16a.html、およびhttp://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gtrtlimt.htmlを参照してください。

ネットワーク境界でのインフラストラクチャACLの使用

ネットワークを通過するトラフィックをブロックするのは往々にして困難ですが、インフラストラクチャデバイスに決して許可すべきではないトラフィックを識別し、ネットワークの境界でそのトラフィックをブロックすることは可能です。iACLはネットワークセキュリティのベストプラクティスであり、優れたネットワークセキュリティへの長期的な付加機能として、またこの特定の脆弱性の回避策として考慮する必要があります。以下に示すiACLの例は、インフラストラクチャIPアドレスの範囲内にあるIPアドレスを持つすべてのデバイスを保護するために配備されるインフラストラクチャアクセスリストの一部として含める必要があります。

!-- Note: IPC packets sent to UDP destination port 1975 must not
!--       be permitted from any trusted source as this traffic
!--       should only be sent and received internally by the
!--       affected device using an IP address allocated from the
!--       127.0.0.0/8 prefix.
!--
!--       IPC that traffic that is internally generated and sent
!--       and/or received by the affected device is not subjected
!--       to packet filtering by the applied iACL policy.

!

!-- Deny IPC (UDP port 1975) packets from all sources destined to
!-- all IP addresses configured on the affected device.

!
access-list 150 deny udp any host INTERFACE_ADDRESS#1 eq 1975
access-list 150 deny udp any host INTERFACE_ADDRESS#2 eq 1975
access-list 150 deny udp any host INTERFACE_ADDRESS#N eq 1975
!

!-- Deny all IP packets with a source or destination IP address 
!-- from the 127.0.0.0/8 prefix.

!
access-list 150 deny ip 127.0.0.0 0.255.255.255 any
access-list 150 deny ip any 127.0.0.0 0.255.255.255
!


!-- Permit/deny all other Layer 3 and Layer 4 traffic in accordance
!-- with existing security policies and configurations.

!

!-- Permit all other traffic to transit the device.

!
access-list 150 permit ip any any
!

!-- Apply iACL to interfaces in the ingress direction.

!
interface GigabitEthernet0/0
  ip access-group 150 in
!

注：ポート1975宛てのUDPパケットをフィルタリングするiACLを使用すると、この脆弱性を緩和できます。ただし、UDPポート1975は、特定のアプリケーションで使用できる登録済みのポート番号です。UDPポート1975宛てのすべてのパケットをフィルタリングすると、一部のアプリケーションが誤動作する可能性があります。したがって、iACLポリシーでは、1975の宛先ポートを使用して、影響を受けるデバイスの任意のルータインターフェイスIPアドレスに送信されるUDPパケットを明示的に拒否し、既存のセキュリティポリシーと設定に従って他のすべてのレイヤ3およびレイヤ4トラフィックを許可または拒否し、他のすべてのトラフィックがデバイスを通過することを許可する必要があります。IPCチャネルは127.0.0.0/8の範囲のアドレスを使用するため、この範囲を送信元または宛先とするパケットも、前の例に示すようにフィルタリングする必要があります。

ホワイトペーパー『Protecting Your Core: Infrastructure Protection Access Control Lists』には、アクセスリストによるインフラストラクチャ保護のガイドラインと推奨される導入方法が記載されています。この White Paper は次のサイトで提供されています。

http://www.cisco.com/en/US/tech/tk648/tk361/technologies_white_paper09186a00801a1a55.shtml

その他の緩和策

ネットワーク内のCiscoデバイスに配備できる追加の緩和テクニックについては、このアドバイザリに関連するCisco適用対応策速報を参照してください。次のリンクから入手できます。

https://sec.cloudapps.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20080924-ipc-and-ubr

アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center（TAC）または契約を結んでいるメンテナンス プロバイダーにお問い合せください。

Cisco IOS ソフトウェアの表（下掲）の各行には、Cisco IOS のリリース トレインが記載されています。特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース（および、それぞれの予想提供日）が表の「第 1 修正済みリリース」列に記載されます。「推奨リリース」列には、このアドバイザリが作成された時点で発表されているすべての脆弱性の修正を含むリリースが記載されます。特定の列に記されているリリースよりも古い（第 1 修正済みリリースより古い）トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。表の「推奨リリース」列に記載されているリリース、またはそれよりも新しいリリースにアップグレードすることを推奨します。

Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。

この脆弱性はシスコ内部で発見されました。