High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco Catalyst 4500 シリーズ スイッチおよび Cisco Catalyst 4500-X シリーズ スイッチ用の Cisco IOS XE ソフトウェアの Easy Virtual Switching System(VSS)機能の脆弱性により、認証されていないリモートの攻撃者が、該当デバイスの基盤となる Linux オペレーティングシステムで任意のコードを実行する可能性があります。
この脆弱性は、該当デバイスを宛先とする Easy VSS プロトコルパケットにおいて、特定の値に対する境界チェックが正しく行われないことに起因します。攻撃者は、該当デバイスが特定の状態になっている間に、巧妙に細工された Easy VSS プロトコルパケットを UDP ポート 5500 に送信することで、この脆弱性をエクスプロイトする可能性があります。巧妙に細工されたパケットを処理する際に、バッファオーバーフロー状態が発生する場合があります。エクスプロイトに成功すると、攻撃者はサービス妨害(DoS)状態をトリガーしたり、ルート権限を使用して、該当デバイスの基盤となる Linux オペレーティングシステムで任意のコードを実行したりする可能性があります。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。この脆弱性に対処する回避策はありません。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ios-xe-evss-code-exe-8cw5VSvw
このアドバイザリは、2021 年 3 月に公開された Cisco IOS ソフトウェアおよび IOS XE ソフトウェアリリースのセキュリティ アドバイザリ バンドルの一部です。アドバイザリとリンクの一覧については、『Cisco Event Response: March 2021 Semiannual Cisco IOS and IOS XE Software Security Advisory Bundled Publication』を参照してください。
該当製品
脆弱性のある製品
この脆弱性は、Cisco IOS XE ソフトウェアの脆弱性が存在するリリースを実行していて、次のいずれかの条件を満たしている Cisco Catalyst 4500 および 4500-X シリーズ スイッチに影響を及ぼします。
- Easy VSS 機能を使用して、スイッチがスタンドアロンモードから仮想スイッチモードに変換されている。
- Cisco Discovery Protocol が、アプリケーションタイプ、長さ、値(TLV)の情報が設定された状態で有効になっている。
脆弱性が存在する Cisco ソフトウェアリリースについては、このアドバイザリの「修正済みソフトウェア」セクションを参照してください。
Cisco Discovery Protocol の設定の確認
デバイスで Cisco Discovery Protocol が有効になっているかどうかを確認するには、デバイス CLI で show cdp コマンドを使用します。コマンドの出力に、Cisco Discovery Protocol のグローバル情報が表示されます。次に、Cisco Discovery Protocol が有効になっている場合の show cdp コマンドの出力例を示します。
Switch#show cdp
Global CDP information:
Sending CDP packets every 60 seconds
Sending a holdtime value of 180 seconds
Sending CDPv2 advertisements is enabled
次に、このプロトコルが無効になっている場合の show cdp コマンドの出力例を示します。
Switch#show cdp
% CDP is not enabled
Cisco Discovery Protocol アプリケーションの TLV 設定の確認
Cisco Discovery Protocol アプリケーション TLV 処理は、デフォルトでは有効になっています。アプリケーション TLV が無効になっているかどうかを確認するには、show running-config | include no cdp tlv app CLI コマンドを使用します。コマンドの出力が空の場合、Cisco Discovery Protocol アプリケーション TLV の処理は有効になっています。
show running-config | include no cdp tlv app コマンドから出力が返される場合、Cisco Discovery Protocol アプリケーション TLV 処理が無効になっているインターフェイスの数が示されます。次に、1 つのインターフェイスが無効になっている場合のコマンド出力の例を示します。
Switch#show running-config | include no cdp tlv app
no cdp tlv app
デバイスでアプリケーション TLV を使用して Cisco Discovery Protocol を有効にしている場合、隣接する攻撃ベクトルは Cisco Discovery Protocol ハンドラを介して存在しています。攻撃者はこのベクトルを使用してデバイスを強制的に脆弱な状態にし、該当デバイスの UDP ポート 5500 を標的としてこの脆弱性をエクスプロイトする可能性があります。
Cisco Discovery Protocol はレイヤ 2 プロトコルです。Cisco Discovery Protocol を介してこの脆弱性をエクスプロイトするには、攻撃者は、アプリケーション TLV(レイヤ 2 隣接)で Cisco Discovery Protocol が有効になっている該当デバイスと同じブロードキャストドメインにいる必要があります。
注:スイッチがVSSメンバーとして動作している場合、この脆弱性はリモートで不正利用することはできません。Cisco Discovery Protocol を介した隣接ベクトルのみ使用可能です。デバイス CLI で show switch virtual コマンドを使用して、VSS のステータスを確認します。次に、VSS メンバーとして動作しているデバイスに対する show switch virtual CLI コマンドの出力例を示します。
Switch#show switch virtual
Executing the command on VSS member switch role = VSS Active, id = 2
Switch mode: Virtual Switch
次に、VSS メンバーとして動作していないデバイスに対する show switch virtual CLI コマンドの出力例を示します。
Switch# show switch virtual
Switch Mode : Standalone
脆弱性を含んでいないことが確認された製品
このアドバイザリの脆弱性のある製品セクションに記載されている製品のみが、この脆弱性の影響を受けることが分かっています。
シスコは、この脆弱性が以下のシスコ製品には影響を与えないことを確認しました。
- IOS ソフトウェア
- IOS XR ソフトウェア
- NX-OS ソフトウェア
詳細
デフォルトでは、Catalyst 4500 シリーズおよび 4500-X シリーズ スイッチはスタンドアロンモードで動作するように設定されており、各スイッチは独立して動作します。VSS 機能を使用することで、管理者は仮想スイッチモードで動作する 1 つのネットワーク要素に 2 つのスイッチを組み合わせることができます。Easy VSS 機能では、単一のコマンドで VSS の設定が簡素化されます。
switch convert mode easy-virtual-switch EXEC コマンドで、VSS として動作するスイッチを設定します。このプロセスの一環として、スイッチが単一の VSS としてリロードされるまで UDP ポート 5500 は開いています。ポートが開いている間、攻撃者は UDP ポート 5500 を介してリモートからこの脆弱性をエクスプロイトできます。
システムが VSS としてリロードされると、UDP ポート 5500 が閉じ、この脆弱性はリモートからエクスプロイトできなくなります。Cisco Discovery Protocol を介した隣接する攻撃ベクトルのみ使用可能です。
セキュリティ侵害の痕跡
この脆弱性がエクスプロイトされると、該当デバイスで vss bringup プロセスがクラッシュする可能性があります。デバイスで vss bringup プロセスのクラッシュが発生すると、システムログに次のメッセージが表示されることがあります。
IOSD-EXT-SIGNAL: Segmentation fault(11), Process = vss bringup
このエラーメッセージは、vss bringup プロセスがクラッシュしたことを示しています。ただし、プロセスはこの脆弱性のエクスプロイト以外の理由でクラッシュした可能性もあります。脆弱性のエクスプロイトによってデバイスが侵害を受けているかどうかは、サポート担当部門に連絡し、エラーメッセージを調査することで判断できます。
回避策
この脆弱性に対する回避策はありません。ただし、緩和策はあります。
Cisco Discovery Protocol アプリケーション TLV の無効化
Cisco Discovery Protocol アプリケーション TLV は、デフォルトでは有効になっています。アプリケーション TLV を無効化すると、隣接する攻撃ベクトルが閉じ、攻撃対象領域が縮小します。
デバイスでの Cisco Discovery Protocol アプリケーション TLV の使用をグローバルに無効化するには、グローバル コンフィギュレーション CLI で no cdp tlv app コマンドを使用します。デバイスの特定のインターフェイスにおけるアプリケーション TLV の使用を無効化するには、インターフェイス コンフィギュレーション CLI で no cdp tlv app コマンドを使用します。
Cisco Discovery Protocol アプリケーション TLV を無効化する前にそれらがデバイスで使用されているかどうかを確認するには、show cdp tlv app コマンドを使用します。コマンドから出力が返される場合、アプリケーション TLV をグローバルに無効化することは推奨されません。
Cisco Discovery Protocol の無効化
Cisco Discovery Protocol の機能を使用しないお客様は、このプロトコルをグローバルに無効化して隣接する攻撃ベクトルを閉じるか、各インターフェイスで無効化して攻撃対象領域を縮小できます。
デバイスでのプロトコルの使用をグローバルに無効化するには、グローバル コンフィギュレーション CLI で no cdp run コマンドを使用します。デバイスの特定のインターフェイスに対するプロトコルを無効化するには、インターフェイス コンフィギュレーション CLI で no cdp enable コマンドを使用します。
前述の緩和策を適用できないお客様は、アクセス制御リスト(ACL)またはインフラストラクチャ アクセス制御リスト(iACL)を実装することで UDP ポート 5500 宛の着信トラフィックを制限して、攻撃対象領域を縮小できます。
これらの緩和策は導入されており、テスト環境では実証済みですが、お客様は、ご使用の環境および使用条件において適用性と有効性を判断する必要があります。また、導入されている回避策または緩和策が、お客様固有の導入シナリオおよび制限に基づいて、ネットワークの機能やパフォーマンスに悪影響を及ぼす可能性があることに注意してください。回避策や緩和策は、ご使用の環境への適用性と環境への影響を評価した後で導入してください。
修正済みソフトウェア
シスコはこのアドバイザリに記載された脆弱性に対処する無償のソフトウェアアップデートをリリースしています。お客様がインストールしたりサポートを受けたりできるのは、ライセンスをご購入いただいたソフトウェア バージョンとフィーチャ セットに対してのみとなります。そのようなソフトウェアアップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は以下のリンクに記載されたシスコのソフトウェアライセンスの条項に従うことに同意したことになります。
https://www.cisco.com/c/en/us/products/end-user-license-agreement.html
また、お客様がソフトウェアをダウンロードできるのは、ソフトウェアの有効なライセンスをシスコから直接、あるいはシスコ認定リセラーやパートナーから取得している場合に限ります。通常、これは以前購入したソフトウェアのメンテナンス アップグレードです。無償のセキュリティ ソフトウェア アップデートによって、お客様に新しいソフトウェア ライセンス、追加ソフトウェア フィーチャ セット、またはメジャー リビジョン アップグレードに対する権限が付与されることはありません。
ソフトウェアのアップグレードを検討する際には、シスコ セキュリティ アドバイザリ ページで入手できるシスコ製品のアドバイザリを定期的に参照して、侵害を受ける可能性とアップグレード ソリューション一式を確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
サービス契約をご利用でないお客様
シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、Cisco TAC(https://www.cisco.com/c/ja_jp/support/web/tsd-cisco-worldwide-contacts.html)に連絡してアップグレードを入手してください。
無償アップグレードの対象製品であることを証明していただくために、製品のシリアル番号と、本アドバイザリの URL をご用意ください。
Cisco IOS および IOS XE ソフトウェア
Cisco IOS ソフトウェアおよび IOS XE ソフトウェアの脆弱性による侵害の可能性を判断できるよう、シスコでは Cisco Software Checker を提供しています。このツールにより、特定のソフトウェアリリースに該当するシスコ セキュリティ アドバイザリ、および各アドバイザリで説明されている脆弱性が修正された最初のリリース(「First Fixed」)を特定できます。また該当する場合、そのリリースに関するすべてのアドバイザリの脆弱性が修正された最初のリリース(「Combined First Fixed」)を特定できます。
お客様は、Cisco Software Checker を使用して次の方法でアドバイザリを検索できます。
- ソフトウェアと 1 つ以上のリリースを選択します。
- 特定のリリースのリストを含む .txt ファイルをアップロードする
- show version コマンドの出力を入力する
検索を開始した後で、すべてのシスコ セキュリティ アドバイザリ、特定のアドバイザリ、または最新の公開資料に記載されているすべてのアドバイザリが含まれるように検索をカスタマイズできます。
また、次の形式を使用して、Cisco IOS または IOS XE ソフトウェアリリース(15.1(4)M2 や 3.13.8S など)を入力することで、そのリリースがシスコ セキュリティ アドバイザリの影響を受けているかどうかを判断できます。
デフォルトでは、Cisco Software Checker の結果には、Security Impact Rating(SIR)が「重大」または「高」の脆弱性だけが含まれます。「中間」の SIR 脆弱性の結果を含めるには、Cisco.com にある Cisco Software Checker を使用して、検索をカスタマイズするときに [影響の評価(Impact Rating)] の下にあるドロップダウンリストの [中間(Medium)] チェックボックスをオンにします。
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)は、本アドバイザリに記載されている脆弱性の不正利用事例やその公表を確認していません。
出典
この脆弱性は、シスコの X.B. および J.F.D. による内部のセキュリティテストによって発見されました。
URL
改訂履歴
| バージョン | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.0 | 初回公開リリース | — | Final | 2021 年 3 月 24 日 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。