Cisco IOSソフトウェアのIPサービスレベル契約の脆弱性

概要

Cisco IOSのIPサービスレベル契約(IP SLA)機能には、サービス拒否(DoS)の脆弱性が存在します。この脆弱性は、不正なUDPパケットが脆弱なデバイスに送信されたときに引き起こされます。脆弱性のあるUDPポート番号は、デバイスの設定によって異なります。デフォルトのポートは、脆弱性のあるUDP IP SLA操作またはUDPレスポンダポートには使用されません。

シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。

このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20110928-ipsla で公開されています。

注： 2011年9月28日のCisco IOSソフトウェアセキュリティアドバイザリバンドル公開には10件のCisco Security Advisoryが含まれています。9件のアドバイザリはCisco IOSソフトウェアの脆弱性に対処するもので、1件はCisco Unified Communications Managerの脆弱性に対処するものです。各アドバイザリには、このアドバイザリで説明されている脆弱性を修正したCisco IOSソフトウェアリリースと、2011年9月のバンドル公開のすべての脆弱性を修正したCisco IOSソフトウェアリリースが記載されています。

個々の公開リンクは、次のリンクの「Cisco Event Response: Semiannual Cisco IOS Software Security Advisory Bundled Publication」に掲載されています。

http://www.cisco.com/web/about/security/intelligence/Cisco_ERP_sep11.html

該当製品

脆弱性のある製品

Cisco IOSソフトウェアを実行しているシスコデバイスは、脆弱性のあるIP SLA操作のレスポンダまたは発信側としてIP SLAが設定されると脆弱性の影響を受けます。

シスコ製品で稼働している Cisco IOS ソフトウェアリリースを確認するには、デバイスにログインして show version コマンドを使って、システムバナーを表示します。"Internetwork Operating System Software"、"Cisco IOS Software" あるいはこれらに類似するシステムバナーによってデバイスで Cisco IOS ソフトウェアが稼働していることを確認できます。その後ろにイメージ名が括弧の間に表示され、続いて "Version" と Cisco IOS ソフトウエアリリース名が表示されます。他のシスコデバイスでは、show version コマンドが存在しなかったり、別の出力が表示されたりします。

次の例は、Cisco IOSソフトウェアイメージが稼働しているデバイスからの出力結果を示しています。

Router> show version
Cisco IOS Software, C3900 Software (C3900-UNIVERSALK9-M), Version 15.0(1)M1, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2009 by Cisco Systems, Inc.
Compiled Wed 02-Dec-09 17:17 by prod_rel_team


!--- output truncated

Cisco IOSソフトウェアのリリース命名規則の追加情報は、次のURLにある『Cisco IOS and NX-OS Software Reference Guide』で確認できます。http://www.cisco.com/web/about/security/intelligence/ios-ref.html。

脆弱性を含んでいないことが確認された製品

他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。

詳細

IP SLAは、Cisco IOSソフトウェアに組み込まれたエージェントで、ジッター、遅延（遅延）、パケット損失などの一般的なネットワークパフォーマンスメトリックを測定および監視するように設計されています。

このドキュメントで説明されている脆弱性は、脆弱性のあるデバイスとポートに送信される不正なIP SLAパケットによって引き起こされます。脆弱性のあるデバイスは、IP SLA応答側または脆弱性のあるIP SLA操作の送信元デバイスになります。

この脆弱性は、Cisco Bug ID CSCtk67073（登録ユーザ専用）として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2011-3272が割り当てられています。

脆弱なIP SLAレスポンダの設定

一般的なIP SLAレスポンダまたは永続的なIP SLA UDPレスポンダとして設定されたデバイスには脆弱性が存在します。

一般的なレスポンダはUDPポート1967でIP SLA制御プロトコルパケットを処理し、制御プロトコルを使用して要求されるIP SLA動作に従って、脆弱なUDPポートを動的に開くことができます。一般的なレスポンダの設定は次のとおりです。

ip sla responder

永続的なIP SLA UDPレスポンダにも脆弱性が存在します。設定例を次に示します。

ip sla responder udp-echo port 300

UDPパーマネントレスポンダにはデフォルトのUDPポート番号はありません

または、show ip sla responderコマンドで、一般的なレスポンダと永続的なレスポンダの両方を特定できます。一般的なレスポンダは、有効になっていると脆弱です。永続的なレスポンダは、有効になっていて「udpEcho Responder」が存在する場合にのみ脆弱です。次の例では、一般的なレスポンダは有効になっていないため脆弱ではありませんが、永続的なレスポンダはUDPエコーレスポンダで有効になっているため脆弱です。

Router# show ip sla responder
        General IP SLA Responder on Control port 1967
General IP SLA Responder is: Disabled

        Permanent Port IP SLA Responder
Permanent Port IP SLA Responder is: Enabled

udpEcho Responder: 
  IP Address             Port
  0.0.0.0                 300

脆弱なIP SLA送信元デバイスの設定

IP SLAソースデバイスは、少なくとも1つのIP SLA動作が設定されているCisco IOSデバイスです。脆弱性をエクスプロイトするには、プローブの作成者は、次のIP SLA操作のいずれかを使用するプローブを少なくとも1つスケジュールしておく必要があります。

UDPジッタプローブ
UDPエコー

脆弱性のあるIP SLAソースデバイス設定には、次のコマンドがすべて含まれています。

IP SLA動作を定義するip slaグローバルコンフィギュレーションコマンド
udp-echoまたはudp-jitter IP SLAコンフィギュレーションコマンド
脆弱性のあるIP SLA動作を使用するプローブの1つをアクティブにするip sla scheduleグローバルコンフィギュレーションコマンド

次の例は、IP SLA UDPエコーおよびUDPジッタプローブ用に設定された送信元デバイスを示しています。

ip sla 201
 udp-echo 192.168.134.21 201
ip sla schedule 201 start-time now

ip sla 301
 udp-jitter 192.168.134.121 122
ip sla schedule 301 start-time now

プローブの宛先UDPポートを設定する必要があります。送信元UDPポートが設定されていない場合、プローブの開始時に使用可能なポート番号が使用されます。脆弱性のある操作の発信元デバイスは、プローブの送信元UDPポートでは脆弱性が存在し、レスポンダは、プローブに使用される宛先UDPポートでは脆弱性が存在します。

IP SLAプローブは、簡易ネットワーク管理プロトコル(SNMP)を使用して設定できます。この場合、デフォルトでは、show running-configコマンドの出力にはIP SLAプローブの設定は含まれません。show ip sla configurationコマンドを使用すると、プローブがコマンドラインまたはSNMPで設定されているかどうかを確認できます。

Router# show ip sla configuration | include operation
Type of operation to perform: udp-jitter

回避策

この脆弱性に対する回避策はありませんが、一般的なIP SLAレスポンダに導入することで、この脆弱性の影響を軽減できる対応策があります。

一般的なIP SLAレスポンダの対応策

General Responderとして設定されているデバイスでは、脆弱性のあるデバイスにアドレス指定されたUDPポート1967のIP SLA制御パケットを制限し、悪用される可能性のあるUDPポートを開くのは信頼できるプローブ発信側だけに許可するようにします。これは、インフラストラクチャアクセスリストやコントロールプレーン保護などの手法を使用して実現できます。

General Responderとして設定されているデバイスの場合、ネットワーク内のCiscoデバイスに適用可能な緩和テクニックは、このアドバイザリに関連するCisco適用対応策速報(https://sec.cloudapps.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20110928-ipsla)で参照できます。

永続的なIP SLAレスポンダの対応策

永続的なレスポンダの場合、各永続的なレスポンダの構成済みUDPポートにアドレス指定されたUDPパケットをフィルタ処理して、信頼できるデバイスのIPアドレスからのパケットを許可します。

IP SLA送信元デバイスの緩和策

IP SLA送信元デバイスの場合、緩和策は、信頼できるデバイス（IP SLA動作のターゲットであるデバイス）からのUDPパケットのみを許可することです

修正済みソフトウェア

アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレードソリューションを確認してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center（TAC）または契約を結んでいるメンテナンスプロバイダーにお問い合せください。

また、Cisco IOS Software Checkerは、https://sec.cloudapps.cisco.com/security/center/selectIOSVersion.xのCisco Security(SIO)ポータルでも入手できます。特定のバージョンのCisco IOSソフトウェアに影響を与えるセキュリティアドバイザリを確認するための機能がいくつかあります。