High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco IOS®ソフトウェアには複数の機能に脆弱性があり、攻撃者が該当デバイスにサービス拒否(DoS)状態を引き起こす可能性があります。巧妙に細工された一連のTCPパケットによって、脆弱性のあるデバイスが再起動する可能性があります。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。
このアドバイザリの「回避策」セクションでは、いくつかの緩和策について説明しています。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20090325-tcp で公開されています。
注:2009年3月25日のCisco IOSセキュリティアドバイザリバンドル公開には8件のSecurity Advisoryが含まれています。これらのアドバイザリはすべて、Cisco IOSソフトウェアの脆弱性に対処するものです。各アドバイザリには、そのアドバイザリに記載された脆弱性を修正するリリースが記載されています。
各ドキュメントへのリンクは次のとおりです。
-
Cisco IOS cTCPのDoS脆弱性
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20090325-ctcp
-
Cisco IOSソフトウェアの複数の機能におけるIPソケットの脆弱性
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20090325-ip
-
Cisco IOSソフトウェアモバイルIPおよびモバイルIPv6の脆弱性
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20090325-mobileip
-
Cisco IOSソフトウェアのSecure Copyにおける権限昇格の脆弱性
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20090325-scp
-
Cisco IOSソフトウェアのSession Initiation ProtocolにおけるDoS脆弱性
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20090325-sip
-
Cisco IOSソフトウェアの複数の機能における巧妙に細工されたTCPシーケンスの脆弱性
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20090325-tcp
-
Cisco IOSソフトウェアの複数機能における巧妙に細工されたUDPパケットの脆弱性
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20090325-udp
-
Cisco IOSソフトウェアのWebVPNおよびSSLVPNの脆弱性
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20090325-webvpn
該当製品
脆弱性のある製品
該当するバージョンのCisco IOSソフトウェアおよびCisco IOS XEソフトウェアを実行しているデバイスは、Cisco IOS内で次のいずれかの機能を使用するように設定されている場合に影響を受けます。
- Airline Product Set (ALPS)
- シリアルトンネルコード(STUN)およびブロックシリアルトンネルコード(BSTUN)
- ネイティブクライアントインターフェイスアーキテクチャ(NCIA)のサポート
- データリンクスイッチング(DLSw)
- リモートソースルートブリッジング(RSRB)
- ポイントツーポイントトンネリングプロトコル(PPTP)
- X.25:レコード境界保持(RBP)
- X.25 over TCP(XOT)
- X.25ルーティング
影響を受ける機能がデバイスで有効になっているかどうかを判断する方法については、このアドバイザリの「詳細」セクションを参照してください。
シスコ製品で実行されているCisco IOSソフトウェアリリースは、管理者がデバイスにログインして、show versionコマンドを発行することにより確認できます。"Internetwork Operating System Software"、"Cisco IOS Software" あるいはこれらに類似するシステム バナーによってデバイスで Cisco IOS ソフトウェアが稼働していることを確認できます。 その後ろにイメージ名が括弧の間に表示され、続いて "Version" と Cisco IOS ソフトウエア リリース名が表示されます。他のシスコデバイスには「show version」コマンドがないか、異なる出力が表示される場合があります。
以下の例は、Cisco 製品にて、IOSリリース 12.3(26) が稼動し、そのイメージ名が C2500-IS-L であることを示しています:
Router#show version Cisco Internetwork Operating System Software IOS (tm) 2500 Software (C2500-IS-L), Version 12.3(26), RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2008 by cisco Systems, Inc. Compiled Mon 17-Mar-08 14:39 by dchih <output truncated>
次の例は、Cisco IOSソフトウェアリリース12.4(20)Tが稼働し、イメージ名がC1841-ADVENTERPRISEK9-Mである製品を示しています。
Router#show version Cisco IOS Software, 1841 Software (C1841-ADVENTERPRISEK9-M), Version 12.4(20)T, RELEASE SOFTWARE (fc3) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2008 by Cisco Systems, Inc. Compiled Thu 10-Jul-08 20:25 by prod_rel_team <output truncated>
Cisco IOSソフトウェアのリリース命名規則の追加情報は、次のリンクの「White Paper: Cisco IOS Reference Guide」で確認できます。http://www.cisco.com/web/about/security/intelligence/ios-ref.html。
脆弱性を含んでいないことが確認された製品
- Cisco IOS XR ソフトウェア
- BGPは影響されません
Cisco IOSソフトウェアに設定されているその他のシスコ製品や機能で、この脆弱性の影響を受けるものは現在確認されていません。
詳細
この脆弱性を不正利用するには、以下に概説する機能のうち、関連するTCPポート番号に対する3ウェイハンドシェイクを完了する必要があります。
Airline Product Set (ALPS)
ALPSが設定されているデバイスには脆弱性が存在します。ALPSのデフォルトのTCPリスニングポートは350および10000です。次の例は、脆弱性のあるALPS設定を示しています。
alps local-peer <ip address>
ALPSの詳細については、次のリンクにある『Cisco IOS Bridging and IBM Networking Configuration Guide, Release 12.2 - Configuring the Airline Product Set』を参照してください。http://www.cisco.com/en/US/docs/ios/12_2/ibm/configuration/guide/bcfalps_ps1835_TSD_Products_Configuration_Guide_Chapter.html。
Serial Tunnel Code(STUN)およびBlock Serial Tunneling(BSTUN)
STUNまたはBSTUNのいずれかに設定されているデバイスには脆弱性が存在します。STUNのデフォルトのTCPリスニングポートは1990、1991、1992、および1994です。BSTUNのデフォルトのTCPリスニングポートは1963、1976、1977、1978、および1979です。次の例は、脆弱性のあるSTUN設定を示しています。
interface serial 0/0/0 encapsulation stun
次の例は、脆弱性のあるBSTUN設定を示しています。
interface serial 0/0/0 encapsulation bstun
STUNとBSTUNの詳細については、次のリンクにある『Cisco IOS Bridging and IBM Networking Configuration Guide, Release 12.2 - Configuring Serial Tunnel and Block Serial Tunnel』を参照してください。http://www.cisco.com/en/US/docs/ios/12_2/ibm/configuration/guide/bcfstun_ps1835_TSD_Products_Configuration_Guide_Chapter.html。
ネイティブクライアントインターフェイスアーキテクチャ(NCIA)のサポート
NCIAが設定されているデバイスは、使用する基盤となるトランスポートが原因で脆弱です。デフォルトのTCPリスニングポートは、RSRBやDSLwなどのNCIAで使用されるプロトコルに依存します。次の例は、脆弱性のある設定を示しています。
ncia server 1 10.66.91.138 0000.1111.2222 2222.2222.2222 1
NCIAの詳細については、次のリンクにある『Cisco IOS Bridging and IBM Networking Configuration Guide, Release 12.4 - Configuring NCIA Client/Server』を参照してください。http://www.cisco.com/en/US/docs/ios/bridging/configuration/guide/br_ncia_client_svr_ps6350_TSD_Products_Configuration_Guide_Chapter.html。
データリンクスイッチング(DLSw)
DLSwが設定されているデバイスには脆弱性が存在します。DSLwのデフォルトのTCPリスニングポートは、2065、2067、1981、1982、および1983です。次の例は、脆弱性のある設定を示しています。
dlsw local-peer peer-id <ip address>
FSTカプセル化またはダイレクトカプセル化が設定されているデバイスは、該当するTCPポートが「dslw local-peer peer-id ip address」コマンドで開かれるため、引き続き脆弱です。
DLSwについての詳細は、次のリンクにある『Cisco IOS Bridging and IBM Networking Configuration Guide, Release 12.4 - Configuring Data-Link Switching Plus』を参照してください。http://www.cisco.com/en/US/docs/ios/bridging/configuration/guide/br_dlsw_plus_ps6350_TSD_Products_Configuration_Guide_Chapter.html。
リモートソースルートブリッジング(RSRB)
TCP接続でIPカプセル化を使用するRSRBが設定されているデバイスには脆弱性が存在します。RSRBのデフォルトのTCPリスニングポートは1996、1987、1988、および1989です。次の例は、脆弱性のある設定を示しています。
source-bridge ring-group 10 source-bridge remote-peer 10 tcp <ip address>
ダイレクトカプセル化を使用するRSRBまたはFST接続上でIPカプセル化を使用するRSRBが設定されているデバイスは、この脆弱性の影響を受けません。
RSRBについての詳細は、次のリンクにある『Cisco IOS Bridging and IBM Networking Configuration Guide, Release 12.2 - Configuring Remote Source-Route Bridging』を参照してください。http://www.cisco.com/en/US/docs/ios/12_2/ibm/configuration/guide/bcfrsrb_ps1835_TSD_Products_Configuration_Guide_Chapter.html。
ポイントツーポイントトンネリングプロトコル(PPTP)
PPTPが設定されているデバイスには脆弱性が存在します。PPTPのデフォルトのTCPリスニングポートは1723です。次の例は、脆弱性のある設定を示しています。
vpdn enable ! vpdn-group pptp ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1
または
vpdn enable ! vpdn-group L2_Tunneling ! Default L2TP VPDN group ! Default PPTP VPDN group accept-dialin protocol any virtual-template 1
PPTPについての詳細は、次のリンクにある『Cisco IOS VPDN Configuration Guide, Release 12.4 - Configuring Client-Initiated Dial-In VPDN Tunneling』を参照してください。http://www.cisco.com/en/US/docs/ios/vpdn/configuration/guide/client_init_dial-in_ps6350_TSD_Products_Configuration_Guide_Chapter.html#wp1105140。
X.25レコード境界保持(RBP)
RBPが設定されているデバイスには脆弱性が存在します。TCPリスニングポートは、次の例に示すように、CLIコマンド「local port port_number」で設定します。次の例は、脆弱性のある設定を示しています。1つ目は、相手先選択接続(SVC)を利用する方法です。
interface Serial1/0 x25 map rbp 1111 local port <port_number>
2番目の例では、Permanent Virtual Circuit(PVC;相手先固定接続)を利用しています。
interface Serial1/0 x25 map pvc <pvc_number> rbp local port <port_number>
RBPの詳細については、次のリンクにある『Cisco IOS Wide-Area Networking Configuration Guide, Release 12.4 - X.25 Record Boundary Preservation for Data Communications Networks』を参照してください。http://www.cisco.com/en/US/docs/ios/wan/configuration/guide/wan_x25_rbp_dcn_ps6350_TSD_Products_Configuration_Guide_Chapter.html。
X.25 over TCP(XOT)
XOTが設定されているデバイスには脆弱性が存在します。XOTのデフォルトのTCPリスニングポートは1998です。次の例は、脆弱性のある設定を示しています。
xot access-group 1 and a corresponding access-list 1.
XOTの詳細については、次のリンクにある『Cisco IOS Wide-Area Networking Configuration Guide, Release 12.4 - X.25 over TCP Profiles』を参照してください。http://www.cisco.com/en/US/docs/ios/wan/configuration/guide/wan_x25otcp_pro_ps6350_TSD_Products_Configuration_Guide_Chapter.html。
X25ルーティング
X25が設定されているデバイスには脆弱性が存在します。X25ルーティングのデフォルトのTCPリスニングポートは1998です。次の例は、脆弱性のある設定を示しています。
x25 routing
X25の詳細については、次のリンクにある『Cisco IOS Wide-Area Networking Configuration Guide, Release 12.4 - Configuring X.25 and LAPB』を参照してください。http://www.cisco.com/en/US/docs/ios/wan/configuration/guide/wan_cfg_x25_lapb_ps6350_TSD_Products_Configuration_Guide_Chapter.html。
この脆弱性は、Cisco Bug ID CSCsr29468 (登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2009-0629が割り当てられています。
回避策
この脆弱性に対しては次の緩和策が確認されており、Cisco IOSソフトウェアの修正済みバージョンへのアップグレードがスケジュール可能になるまでのインフラストラクチャの保護に役立つ可能性があります。
インフラストラクチャ アクセス コントロール リスト
ネットワークを通過するトラフィックを遮断することはしばしば困難ですが、インフラストラクチャ デバイスをターゲットとした許可すべきではないトラフィックを特定し、そのようなトラフィックをネットワークの境界で遮断することは可能です。Infrastructure Access Control Lists (iACLs) は、ネットワークセキュリティのベストプラクティスであり、特定の脆弱性に対する回避策であると同時に長期に渡って役立つネットワークセキュリティを付加することができます。以下の iACL の例は、Infrastructure access-list の一部として設定されるべきであり、インフラストラクチャ IP アドレスの範囲に含まれる IP アドレスを持つ全ての機器を防御します:
!--- !--- Only sections pertaining to features enabled on the device !--- need be configured. !--- !--- Feature: ALPS !--- access-list 150 permit tcp TRUSTED_HOSTS WILDCARD INFRASTRUCTURE_ADDRESSES WILDCARD eq 350 access-list 150 permit tcp TRUSTED_HOSTS WILDCARD INFRASTRUCTURE_ADDRESSES WILDCARD eq 10000 !--- !--- Deny ALPS TCP traffic from all other sources destined !--- to infrastructure addresses. !--- access-list 150 deny tcp any INFRASTRUCTURE_ADDRESSES WILDCARD eq 350 access-list 150 deny tcp any INFRASTRUCTURE_ADDRESSES WILDCARD eq 10000 !--- !--- Feature: STUN !--- access-list 150 permit tcp TRUSTED_HOSTS WILDCARD INFRASTRUCTURE_ADDRESSES WILDCARD eq 1994 access-list 150 permit tcp TRUSTED_HOSTS WILDCARD INFRASTRUCTURE_ADDRESSES WILDCARD range 1990 1992 !--- !--- Deny STUN TCP traffic from all other sources destined !--- to infrastructure addresses. !--- access-list 150 deny tcp any INFRASTRUCTURE_ADDRESSES WILDCARD eq 1994 access-list 150 deny tcp any INFRASTRUCTURE_ADDRESSES WILDCARD range 1990 1992 !--- !--- Feature: BSTUN !--- access-list 150 permit tcp TRUSTED_HOSTS WILDCARD INFRASTRUCTURE_ADDRESSES WILDCARD eq 1963 access-list 150 permit tcp TRUSTED_HOSTS WILDCARD INFRASTRUCTURE_ADDRESSES WILDCARD range 1976 1979 !--- !--- Deny BSTUN TCP traffic from all other sources destined !--- to infrastructure addresses. !--- access-list 150 deny tcp any INFRASTRUCTURE_ADDRESSES WILDCARD eq 1963 access-list 150 deny tcp any INFRASTRUCTURE_ADDRESSES WILDCARD range 1976 1979 !--- !--- Feature: NCIA !--- !--- !--- Leverage the underlying protocols, DLSw, RSRB, etc. !--- !--- !--- Feature: DLSW !--- access-list 150 permit tcp TRUSTED_HOSTS WILDCARD INFRASTRUCTURE_ADDRESSES WILDCARD eq 2065 access-list 150 permit tcp TRUSTED_HOSTS WILDCARD INFRASTRUCTURE_ADDRESSES WILDCARD eq 2067 access-list 150 permit tcp TRUSTED_HOSTS WILDCARD INFRASTRUCTURE_ADDRESSES WILDCARD range 1981 1983 !--- !--- Deny DLSW TCP traffic from all other sources destined !--- to infrastructure addresses. !--- access-list 150 deny tcp any INFRASTRUCTURE_ADDRESSES WILDCARD eq 2065 access-list 150 deny tcp any INFRASTRUCTURE_ADDRESSES WILDCARD eq 2067 access-list 150 deny tcp any INFRASTRUCTURE_ADDRESSES WILDCARD range 1981 1983 !--- !--- Feature: RSRB !--- access-list 150 permit tcp TRUSTED_HOSTS WILDCARD INFRASTRUCTURE_ADDRESSES WILDCARD range 1987 1989 access-list 150 permit tcp TRUSTED_HOSTS WILDCARD INFRASTRUCTURE_ADDRESSES WILDCARD eq 1996 !--- !--- Deny RSRB TCP traffic from all other sources destined !--- to infrastructure addresses. !--- access-list 150 deny tcp any INFRASTRUCTURE_ADDRESSES WILDCARD range 1987 1989 access-list 150 deny tcp any INFRASTRUCTURE_ADDRESSES WILDCARD eq 1996 !--- !--- Feature: PPTP !--- access-list 150 permit tcp TRUSTED_HOSTS WILDCARD INFRASTRUCTURE_ADDRESSES WILDCARD eq 1723 !--- !--- Deny PPTP TCP traffic from all other sources destined !--- to infrastructure addresses. !--- access-list 150 deny tcp any INFRASTRUCTURE_ADDRESSES WILDCARD eq 1723 !--- !--- Feature: RBP !--- !--- RBP will listen for TCP connections on the configured port !--- as per "local port". The following example !--- uses port 1055 !--- access-list 150 permit tcp TRUSTED_HOSTS WILDCARD INFRASTRUCTURE_ADDRESSES WILDCARD eq 1055 !--- !--- Deny RBP traffic from all other sources destined !--- to infrastructure addresses. !--- access-list 150 deny tcp any INFRASTRUCTURE_ADDRESSES WILDCARD eq 1055 !--- !--- Feature: XOT and X.25 Routing !--- access-list 150 permit tcp TRUSTED_HOSTS WILDCARD INFRASTRUCTURE_ADDRESSES WILDCARD eq 1998 !--- !--- Deny XOT and X25 TCP traffic from all other sources !--- destined to infrastructure addresses. !--- access-list 150 deny tcp any INFRASTRUCTURE_ADDRESSES WILDCARD eq 1998 !--- !--- Permit/deny all other Layer 3 and Layer 4 traffic in !--- accordance with existing security policies and !--- configurations Permit all other traffic to transit the !--- device. !--- access-list 150 permit ip any any !--- !--- Apply access-list to all interfaces (only one example !--- shown) !--- interface serial 2/0 ip access-group 150 in
ホワイトペーパー『Protecting Your Core: Infrastructure Protection Access Control Lists』には、アクセスリストによるインフラストラクチャ保護のガイドラインと推奨される導入方法が記載されています。このWhite Paperは、http://www.cisco.com/en/US/tech/tk648/tk361/technologies_white_paper09186a00801a1a55.shtmlで入手できます。
受信ACL(rACL)
分散型のプラットフォームにおいては、Cisco12000 シリーズ(GSR) では 12.0(21)S2、 Cisco7500 シリーズでは 12.0(24)S、Cisco10720 シリーズでは 12.0(31)S の IOS ソフトウェアにてサポートされている Receive ACL も選択肢となります。受信 ACL は、ルート プロセッサが有害なトラフィックの影響を受ける前に、そのトラフィックからデバイスを保護します。受信 ACL は、それが設定されたデバイスのみを保護する設計になっています。Cisco 12000, 7500, 10720 では通過トラフィックは Receive ACL による影響を受けません。このため、以下の ACL の例において宛先 IP アドレス "any" が用いられても、自ルータの物理あるいは仮想 IP アドレスのみが参照されます。受信 ACL はネットワーク セキュリティのベスト プラクティスと考えられており、ここでの特定の脆弱性の回避策としてだけでなく、優れたネットワーク セキュリティへの長期的な付加機能として考慮する必要があります。ホワイトペーパー『Protecting Your Core: Infrastructure Protection Access Control Lists』には、アクセスリストによるインフラストラクチャ保護のガイドラインと推奨される導入方法が記載されています。このホワイトペーパーは、次のリンク先で入手できます。http://www.cisco.com/en/US/tech/tk648/tk361/technologies_white_paper09186a00801a0a5e.shtml。
次の receive path ACL は信頼できるホストからのこのようなタイプのトラフィックを許可するように記述されています。
!--- !--- Only sections pertaining to features enabled on the device !--- need be configured. !--- !--- !--- Permit ALPS traffic from trusted hosts allowed to the RP. !--- access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES WILDCARD any eq 350 access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES WILDCARD any eq 10000 !--- !--- Deny ALPS traffic from all other sources to the RP. !--- access-list 150 deny tcp any any eq 350 access-list 150 deny tcp any any eq 10000 !--- !--- Permit STUN traffic from trusted hosts allowed to the RP. !--- access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES WILDCARD any eq 1994 access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES WILDCARD any range 1990 1992 !--- !--- Deny STUN traffic from all other sources to the RP. !--- access-list 150 deny tcp any any eq 1994 access-list 150 deny tcp any any eq range 1990 1992 !--- !--- Permit BSTUN traffic from trusted hosts allowed to the RP. !--- access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES WILDCARD any eq 1963 access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES WILDCARD any range 1976 1979 !--- !--- Deny BSTUN traffic from all other sources to the RP. !--- access-list 150 deny tcp any any eq 1963 access-list 150 deny tcp any any eq range 1976 1979 !--- !--- Permit DLSw from trusted hosts allowed to the RP. !--- access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES WILDCARD any eq 2065 access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES WILDCARD any eq 2067 access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES WILDCARD any range 1981 1983 !--- !--- Deny DLSw all other sources to the RP. !--- access-list 150 deny tcp any any eq 2065 access-list 150 deny tcp any any eq 2067 access-list 150 deny tcp any any range 1981 1983 !--- !--- Permit RSRB traffic from trusted hosts allowed to the RP. !--- access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES WILDCARD any eq 1996 access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES WILDCARD any range 1987 1989 !--- !--- Deny RSRB traffic from all other sources to the RP. !--- access-list 150 deny tcp any any eq 1996 access-list 150 deny tcp any any range 1987 1989 !--- !--- Permit PPTP traffic from trusted hosts allowed to the RP. !--- access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES WILDCARD any eq 1723 !--- !--- Deny PPTP traffic from all other sources to the RP. !--- access-list 150 deny tcp any any eq 1723 !--- !--- Permit RBP traffic from trusted hosts allowed to the RP. !--- RBP will listen for TCP connections on the configured port !--- as per "local port". The following example !--- uses port 1055 !--- access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES WILDCARD any eq 1055 !--- !--- Deny RBP traffic from all other sources to the RP. !--- access-list 150 deny tcp any any eq 1055 !--- !--- Permit XOT and X.25 Routing traffic from trusted hosts allowed !--- to the RP. !--- access-list 150 permit tcp TRUSTED_SOURCE_ADDRESSES WILDCARD any eq 1998 !--- !--- Deny XOT and X.25 Routing traffic from all other sources to !--- the RP. !--- access-list 150 deny tcp any any eq 1998 !--- Permit all other traffic to the RP. !--- according to security policy and configurations. access-list 150 permit ip any any !--- Apply this access list to the 'receive' path. ip receive access-list 150
コントロール プレーン ポリシング
Control Plane Policing(CoPP)を使用して、影響を受ける機能のデバイスへのTCPトラフィックアクセスをブロックできます。Cisco IOS ソフトウェア リリース 12.0S、12.2SX、12.2S、12.3T、12.4、および 12.4T は、CoPP 機能をサポートしています。管理およびコントロールプレーンを保護するために CoPP を機器に設定し、既存のセキュリティーポリシーとコンフィギュレーションに従って認定されたトラフィックだけがインフラストラクチャデバイス宛に送信されることを明示的に許可することで、インフラストラクチャへの直接攻撃のリスクとその効果を最小限に抑えることができます。次のCoPPの例は、インフラストラクチャIPアドレスの範囲内にあるIPアドレスを持つすべてのデバイスを保護するために導入されるCoPPの一部として含める必要があります。
!--- !--- Only sections pertaining to features enabled on the device !--- need be configured. !--- !--- Feature: ALPS !--- access-list 150 deny tcp TRUSTED_HOSTS WILDCARD any eq 350 access-list 150 deny tcp TRUSTED_HOSTS WILDCARD any eq 10000 !--- !--- Permit ALPS traffic sent to all IP addresses !--- configured on all interfaces of the affected device so !--- that it will be policed and dropped by the CoPP feature !--- access-list 150 permit tcp any any eq 350 access-list 150 permit tcp any any eq 10000 !--- !--- Feature: STUN !--- access-list 150 deny tcp TRUSTED_HOSTS WILDCARD any eq 1994 access-list 150 deny tcp TRUSTED_HOSTS WILDCARD any range 1990 1992 !--- !--- Permit STUN traffic sent to all IP addresses !--- configured on all interfaces of the affected device so !--- that it will be policed and dropped by the CoPP feature !--- access-list 150 permit tcp any any eq 1994 access-list 150 permit tcp any any range 1990 1992 !--- !--- Feature: BSTUN !--- access-list 150 deny tcp TRUSTED_HOSTS WILDCARD any eq 1963 access-list 150 deny tcp TRUSTED_HOSTS WILDCARD any range 1976 1979 !--- !--- Permit BSTUN traffic sent to all IP addresses !--- configured on all interfaces of the affected device so !--- that it will be policed and dropped by the CoPP feature !--- access-list 150 permit tcp any any eq 1963 access-list 150 permit tcp any any range 1976 1979 !--- !--- Feature: NCIA !--- !--- Leverage the underlying protocols, DLSw, RSRB, etc. !--- !--- !--- Feature: DLSW !--- access-list 150 deny tcp TRUSTED_HOSTS WILDCARD any eq 2065 access-list 150 deny tcp TRUSTED_HOSTS WILDCARD any eq 2067 access-list 150 deny tcp TRUSTED_HOSTS WILDCARD any range 1981 1983 !--- !--- Permit DLSW traffic sent to all IP addresses !--- configured on all interfaces of the affected device so !--- that it will be policed and dropped by the CoPP feature !--- access-list 150 permit tcp any any eq 2065 access-list 150 permit tcp any any eq 2067 access-list 150 permit tcp any any range 1981 1983 !--- !--- Feature: RSRB !--- access-list 150 deny tcp TRUSTED_HOSTS WILDCARD any range 1987 1989 access-list 150 deny tcp TRUSTED_HOSTS WILDCARD any eq 1996 !--- !--- Permit RSRB traffic sent to all IP addresses !--- configured on all interfaces of the affected device so !--- that it will be policed and dropped by the CoPP feature !--- access-list 150 permit tcp any any range 1987 1989 access-list 150 permit tcp any any eq 1996 !--- !--- Feature: PPTP !--- access-list 150 deny tcp TRUSTED_HOSTS WILDCARD any eq 1723 !--- !--- Permit PPTP traffic sent to all IP addresses !--- configured on all interfaces of the affected device so !--- that it will be policed and dropped by the CoPP feature !--- access-list 150 permit tcp any any eq 1723 !--- !--- Feature: RBP !--- !--- RBP will listen for TCP connections on the configured port !--- as per "local port". The following example !--- uses port 1055 access-list 150 deny tcp TRUSTED_HOSTS WILDCARD any eq 1055 !--- !--- Permit RBP traffic sent to all IP addresses !--- configured on all interfaces of the affected device so !--- that it will be policed and dropped by the CoPP feature !--- access-list 150 permit tcp any any eq 1055 !--- !--- Feature: XOT and X.25 Routing !--- access-list 150 deny tcp TRUSTED_HOSTS WILDCARD any eq 1998 !--- !--- Permit XOT and X25 traffic sent to all IP addresses !--- configured on all interfaces of the affected device so !--- that it will be policed and dropped by the CoPP feature !--- access-list 150 permit tcp any any eq 1998 !--- !--- Permit (Police or Drop)/Deny (Allow) all other Layer3 and !--- Layer4 traffic in accordance with existing security policies !--- configurations for traffic that is authorized to be sent !--- and to infrastructure devices !--- Create a Class-Map for traffic to be policed by !--- the CoPP feature !--- class-map match-all drop-tcp-class match access-group 150 !--- !--- Create a Policy-Map that will be applied to the !--- Control-Plane of the device. !--- policy-map drop-tcp-traffic class drop-tcp-class drop !--- !--- Apply the Policy-Map to the !--- Control-Plane of the device !--- control-plane service-policy input drop-tcp-traffic
上記の CoPP の例では、"permit" アクションであるアクセスコントロールリストエントリ (ACE) に該当し、攻撃である可能性のあるパケットは、policy-map の "drop" 機能により廃棄されますが、一方、"deny" アクション(記載されていません)に該当するパケットは、policy-map の "drop" 機能の影響を受けません。policy-map の構文は、12.2S と 12.0S Cisco IOS トレインでは異なるので注意が必要です:
policy-map drop-tcp-traffic class drop-tcp-class police 32000 1500 1500 conform-action drop exceed-action drop
CoPP機能の設定と使用についての詳細は、http://www.cisco.com/web/about/security/intelligence/coppwp_gs.htmlおよびhttp://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gtrtlimt.htmlにある『Control Plane Policing Implementation Best Practices』および『Cisco IOS Software Releases 12.2 S - Control Plane Policing』を参照してください。
ネットワーク内のCiscoデバイスに適用可能な他の対応策は、このアドバイザリの付属ドキュメントである『Cisco Applied Mitigation Bulletin』にて参照できます。https://sec.cloudapps.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20090325-tcp-and-ip
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
Cisco IOS ソフトウェアの表(下掲)の各行には、Cisco IOS のリリース トレインが記載されています。特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース(および、それぞれの予想提供日)が表の「第 1 修正済みリリース」列に記載されます。「推奨リリース」列には、このアドバイザリが作成された時点で発表されているすべての脆弱性の修正を含むリリースが記載されます。特定の列に記されているリリースよりも古い(第 1 修正済みリリースより古い)トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。表の「推奨リリース」列に記載されているリリース、またはそれよりも新しいリリースにアップグレードすることを推奨します。
|
メジャー リリース |
修正済みリリースの入手可能性 |
|
|---|---|---|
|
Affected 12.0-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
|
該当する 12.0 ベースのリリースはありません。 |
||
|
Affected 12.1-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
|
該当する 12.1 ベースのリリースはありません。 |
||
|
Affected 12.2-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性あり(最初の修正は12.2SG) |
12.2(31)SGA9 |
|
|
脆弱性あり(最初の修正は12.2SG) |
12.2(31)SGA9 |
|
|
12.2(44)EXより前のリリースには脆弱性があり、12.2(44)EX以降のリリースには脆弱性はありません。最初の修正は12.2SEです。 |
12.2(44)SE6 |
|
|
12.2(44)EY |
12.2(44)SE6 |
|
|
脆弱性あり(最初の修正は12.2SE) |
12.2(44)SE6 |
|
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性あり(最初の修正は12.2SE) |
12.2(44)SE6 |
|
|
脆弱性あり(最初の修正は12.2SRC) |
12.2(33)SRC4 |
|
|
脆弱性あり(最初の修正は12.2SRC) |
12.2(33)SRC4 |
|
|
脆弱性あり。12.2IXHの任意のリリースに移行 |
12.2(18)IXH |
|
|
脆弱性あり。12.2IXHの任意のリリースに移行 |
12.2(18)IXH |
|
|
脆弱性あり。12.2IXHの任意のリリースに移行 |
12.2(18)IXH |
|
|
脆弱性あり。12.2IXHの任意のリリースに移行 |
12.2(18)IXH |
|
|
脆弱性あり。12.2IXHの任意のリリースに移行 |
12.2(18)IXH |
|
|
脆弱性あり。12.2IXHの任意のリリースに移行 |
12.2(18)IXH |
|
|
脆弱性あり。12.2IXHの任意のリリースに移行 |
12.2(18)IXH |
|
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性あり(最初の修正は12.2SB) |
12.2(33)SB4 |
|
|
12.2(33)SB3 12.2(28)SB13 12.2(31)SB14 |
12.2(33)SB4 |
|
|
脆弱性あり(最初の修正は12.2SB) |
12.2(33)SB4 |
|
|
脆弱性あり(最初の修正は12.2SCB) |
12.2(33)SCB1 |
|
|
12.2(33)SCB1 |
12.2(33)SCB1 |
|
|
12.2(46)SE2 12.2(50)SE 12.2(44)SE5 |
12.2(44)SE6 |
|
|
脆弱性あり(最初の修正は12.2SE) |
12.2(44)SE6 |
|
|
脆弱性あり(最初の修正は12.2SE) |
12.2(44)SE6 |
|
|
脆弱性あり(最初の修正は12.2SE) |
12.2(44)SE6 |
|
|
脆弱性あり(最初の修正は12.2SE) |
12.2(44)SE6 |
|
|
脆弱性あり(最初の修正は12.2SE) |
12.2(44)SE6 |
|
|
脆弱性なし |
||
|
12.2(25)SEG4より前のリリースには脆弱性があり、12.2(25)SEG4以降のリリースには脆弱性はありません。最初の修正は12.2SE |
12.2(44)SE6 |
|
|
12.2(50)SG |
12.2(52)SG |
|
|
12.2(31)SGA9 |
12.2(31)SGA9 |
|
|
脆弱性なし |
||
|
脆弱性あり。TACに連絡 |
||
|
脆弱性あり。TACに連絡 |
||
|
脆弱性なし |
||
|
脆弱性あり(最初の修正は12.2SRC) |
12.2(33)SRC4 |
|
|
脆弱性あり(最初の修正は12.2SRC) |
12.2(33)SRB5a 12.2(33)SRC4 12.2(33)SRD1 |
|
|
12.2(33)SRC3 |
12.2(33)SRC4 12.2(33)SRD1 |
|
|
12.2(33)SRD1 |
12.2(33)SRD1 |
|
|
脆弱性あり。TACに連絡 |
||
|
脆弱性なし |
||
|
脆弱性あり。TACに連絡 |
||
|
脆弱性あり。TACに連絡 |
||
|
脆弱性あり。TACに連絡 |
||
|
脆弱性あり。TACに連絡 |
||
|
脆弱性あり。TACに連絡 |
||
|
脆弱性あり。12.4SWの任意のリリースに移行 |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性あり(最初の修正は12.2SXF) |
12.2(18)SXF16 |
|
|
脆弱性あり(最初の修正は12.2SXF) |
12.2(18)SXF16 |
|
|
12.2(18)SXF16 |
12.2(18)SXF16 |
|
|
12.2(33)SXH5 |
12.2(33)SXH5 |
|
|
12.2(33)SXI1 |
12.2(33)SXI1 |
|
|
脆弱性なし |
||
|
脆弱性あり(最初の修正は12.2SB) |
12.2(33)SB4 |
|
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性あり(最初の修正は12.2SRC) |
12.2(33)SB4 12.2(33)SRD1 |
|
|
脆弱性あり(最初の修正は12.2SRD) |
12.2(33)SRD1 |
|
|
12.2(33)XNB1 |
12.2(33)XNB3 |
|
|
脆弱性なし |
||
|
12.2(46)XO |
12.2(46)XO |
|
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性あり(最初の修正は12.2SXH) |
12.2(33)SXH5 |
|
|
脆弱性あり(最初の修正は12.2SB) |
12.2(33)SB4 |
|
|
脆弱性あり。TACに連絡 |
||
|
12.2(18)ZYA1 |
12.2(18)ZYA1 |
|
|
Affected 12.3-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
|
該当する 12.3 ベースのリリースはありません。 |
||
|
Affected 12.4-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
12.4(15)MD2 12.4(11)MD6より前のリリースには脆弱性はなく、12.4(15)MD以降のリリースには脆弱性があります。 |
12.4(11)MD7 |
|
|
12.4(19)MR1 12.4(16)MR2より前のリリースには脆弱性はなく、12.4(19)MR以降のリリースには脆弱性があります |
12.4(19)MR2 |
|
|
脆弱性なし |
||
|
12.4(22)T 12.4(20)T2 12.4(20)Tより前のリリースには脆弱性はありません |
12.4(22)T1 12.4(15)T9 |
|
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
12.4(15)XQ2 |
12.4(15)XQ2 |
|
|
12.4(15)XR4 |
12.4(22)T1 12.4(15)T9 |
|
|
脆弱性なし |
||
|
脆弱性なし |
||
|
脆弱性なし |
||
|
12.4(15)XY4 |
12.4(22)T1 12.4(15)T9 |
|
|
12.4(15)XZ2 |
12.4(15)XZ2 |
|
|
12.4(20)YA2 |
12.4(20)YA3 |
|
|
脆弱性なし |
||
|
脆弱性なし |
||
推奨事項
不正利用事例と公式発表
この脆弱性は、シスコの社内テストによって発見されました。
URL
改訂履歴
|
リビジョン 1.2 |
2009年7月6日 |
ソフトウェアの提供開始日に関する記述を削除。 |
|
リビジョン 1.1 |
2009年6月26日 |
2009年3月9日の統合修正済みソフトウェアテーブルへの参照を削除。 |
|
リビジョン 1.0 |
2009年3月25日 |
初版リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。