SSLパケット処理中のCisco IOSの脆弱性

この脆弱性は、SSLセッションの終了中に発生します。ユーザ名、パスワード、証明書などの有効なクレデンシャルを所有する必要はありません。SSLプロトコルは、トランスポートプロトコルとしてTCPを使用します。完全なTCP 3ウェイハンドシェイクが必要なため、スプーフィングされたIPアドレスを使用してこの脆弱性が悪用される可能性が低くなります。

SSLベースのサービスが設定された脆弱なCisco IOSソフトウェアを実行しているデバイスが、SSLセッションの終了中にクラッシュする。

この脆弱性は、Cisco Bug ID CSCsj85065(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2008-3798が割り当てられています。

脆弱性のあるデバイスの不正利用を防ぐには、SSLベースのサービスを無効にする必要があります。ただし、デバイスの定期的なメンテナンスと操作がこのサービスに依存している場合、回避策はありません。

次のコマンドは、脆弱なHTTPSサービスを無効にします。

Router(config)#no ip http secure-server

次のコマンドは、脆弱なSSL VPNサービスを無効にします。

Router(config)#no webvpn enable

次のコマンドは、脆弱なOSPサービスを無効にします。

Router(config)#no settlement 

もう1つのオプションは、HTTPSを使用せずにHTTPプロトコルに戻すことです。この回避策の欠点は、決済情報が保護されずにネットワーク経由で送信されることです。

権限のないホストによる該当デバイスへのアクセスを防止することで、この脆弱性を軽減できます。

コントロール プレーン ポリシング（CoPP）

コントロールプレーンポリシング(CoPP)をサポートするCisco IOSソフトウェアバージョンは、管理プレーンとコントロールプレーンをターゲットとする攻撃からデバイスを保護するように設定できます。CoPP は、Cisco IOS リリース トレイン 12.0S、12.2SX、12.2S、12.3T、12.4、および 12.4T で使用できます。

次のCoPPの例では、permitアクションが指定された悪用パケットと一致するACLエントリはpolicy-map drop機能によって廃棄されますが（図には示されていません）、denyアクションと一致するパケットはpolicy-map drop機能の影響を受けません。

!-- Include deny statements up front for any protocols/ports/IP addresses that 
!-- should not be impacted by CoPP
!-- Include permit statements for the protocols/ports that will be 
!-- governed by CoPPaccess-list 100 permit tcp any any eq 443
!-- Permit (Police or Drop)/Deny (Allow) all other Layer3 and Layer4
!-- traffic in accordance with existing security policies and
!-- configurations for traffic that is authorized to be sent
!-- to infrastructure devices.
!
!-- Create a Class-Map for traffic to be policed by
!-- the CoPP feature.
!

class-map match-all drop-SSL-class match access-group 100

!
!-- Create a Policy-Map that will be applied to the
!-- Control-Plane of the device.
!

policy-map drop-SSL-policy class drop-SSL-class   drop   

!-- Apply the Policy-Map to the Control-Plane of the
!-- device.
!

control-plane service-policy input drop-SSL-policy

注：上記のCoPPの例では、permitアクションが使用され、悪用パケットと一致するACLエントリでは、policy-map drop機能によってそれらのパケットが廃棄されますが、denyアクションが一致するパケットは、policy-map drop機能の影響を受けません。

CoPP機能の設定と使用方法の詳細については、http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6642/prod_white_paper0900aecd804fa16a.htmlおよびhttp://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gtrtlimt.htmlを参照してください。

Access Control List（ACL; アクセス コントロール リスト）

アクセスコントロールリスト(ACL)を使用すると、この脆弱性を標的とした攻撃を緩和できます。ACL では、正規の送信元からのパケットのみがデバイスに到達でき、他のすべてのパケットは廃棄されるように指定できます。次の例は、信頼できる送信元からの正規の SSL セッションを許可し、他のすべての SSL セッションを拒否する方法を示しています。

access-list 101 permit tcp host <legitimate_host_IP_address> host 
   <router_IP_address> eq 443
access-list 101 deny tcp any any eq 443

アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center（TAC）または契約を結んでいるメンテナンス プロバイダーにお問い合せください。

Cisco IOS ソフトウェアの表（下掲）の各行には、Cisco IOS のリリース トレインが記載されています。特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース（および、それぞれの予想提供日）が表の「第 1 修正済みリリース」列に記載されます。「推奨リリース」列には、このアドバイザリが作成された時点で発表されているすべての脆弱性の修正を含むリリースが記載されます。特定の列に記されているリリースよりも古い（第 1 修正済みリリースより古い）トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。表の「推奨リリース」列に記載されているリリース、またはそれよりも新しいリリースにアップグレードすることを推奨します。

Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。