目次

要約
該当製品
詳細
脆弱性スコア詳細
影響
ソフトウエアバージョン及び修正
回避策
修正済みソフトウェアの入手
不正利用事例と公式発表
この通知のステータス: FINAL
情報配信
更新履歴
シスコセキュリティ手順

影響を受けるバージョンを実行しているCisco 10000、uBR10012およびuBR7200シリーズデバイスが影響を受けます。

脆弱性のある製品

脆弱性が存在しない製品

Cisco 10000、uBR10012およびuBR7200シリーズデバイスは、UDPベースのIPCチャネルを使用します。 このチャネルは127.0.0.0/8の範囲、およびUDPポート1975のアドレスを使います。 Cisco 10000、uBR10012およびuBR7200シリーズデバイスに影響を受けるバージョンが稼働している場合、Cisco IOSはデバイス外部からUDPポート1975に対して送信されたIPCメッセージの処理をします。 この動作は、攻撃者によって、DoS状態をもたらし、さらにデバイスや、ラインカード、またはその両方のリロードを引き起こすために不正利用されるかもしれません。

127.0.0.0/8かUDPポート1975に向かう不正なトラフィックをフィルタリングすることがこの脆弱性を軽減します。

この脆弱性は、CiscoバグID CSCsg15342 (登録ユーザのみ)およびCSCsh29217 (登録ユーザのみ)で文書化され、Common Vulnerabilities and Exposures(CVE) ID CVE-2008-3805が割り当てられています。

シスコは Common Vulnerability Scoring System（CVSS）の Version 2.0に基づいた脆弱性のスコアリングを提供しています。

CVSSは、脆弱性、重要度を示唆するもので、優先度、緊急性を決定する手助けとなる標準ベースの評価法です。

シスコは基本評価 （Base Score） および現状評価スコア （Temporal Score） を提供いたします。 お客様はこれらを用いて環境評価スコア （Environmental Score） を算出し、個々のネットワークにおける脆弱性の影響度を導き出すことができます。

シスコは以下の URLにてCVSSに関するFAQを提供しています。

http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html

またシスコは個々のネットワークにおける環境影響度を算出するツールを以下のURLにて提供しています。

http://intellishield.cisco.com/security/alertmanager/cvss

脆弱性の不正な利用に成功した場合、にデバイスや、ラインカード、またはその両方のリロードを引き起こされ、結果として DoS状態となる可能性があります。

ソフトウェアのアップグレードを検討する際には、http://www.cisco.com/go/psirt およびそれ以降のアドバイザリも参照して、起こりうる障害と完全なアップグレード ソリューションを判断してください

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。 情報が不明確な場合は、シスコ Technical Assistance Center（TAC） もしくは契約している保守会社にお問い合せください。

Cisco IOSソフトウェアテーブル(下記)の各行はCisco IOSのリリーストレインを示します。あるリリーストレインが脆弱である場合、修正を含む最初のリリースは、表の "First Fixed Release" 列に示されます(入手可能予想日が示される場合もあります)。"Recommended Release" 列は、公開された全てのアドバイザリの修正を含むリリースを示します。実行しているリリースが、そのトレインで "First Fixed Release" 以前のものである場合、機器が脆弱であることが知られています。 Ciscoはテーブルの "Recommended Releases" 列のリリース、またはそれ以降のリリースにアップグレードすることを推奨します。

対応策は、127.0.0.0/8の範囲に送信されるパケット、およびポート1975に送信されるUDPパケットをフィルタリングすることです。

インターフェイス・アクセス・コントロール・リストの使用

ポート1975に向かうUDPパケットをフィルタリングするアクセス・リストをこの脆弱性を軽減するために使用することができます。 ただし、UDPポート1975は、ある特定のアプリケーションが使用できる登録済みのポート番号です。 UDPポート1975に向かうすべてのパケットをフィルタリングすることで、いくつかのアプリケーションが誤動作するかもしれません。 したがって、UDP 1975パケットは、ルータ・インターフェイスのIPアドレス宛に送信されたパケットをすべてを明示的に拒否して、機器を通過するトラフィックには許可を与えるアクセス・リストである必要があります。 そのアクセス・リストはすべてのインターフェイスで適用する必要があります。 IPCチャネルは127.0.0.0/8の範囲のアドレスを使うので、この範囲を送信元か送信先にしたパケットをフィルタリングすることもまた必要です。 例を次に示します:

access-list 100 deny udp any host <router-interface 1> eq 1975
access-list 100 deny udp any host <router-interface 2> eq 1975
access-list 100 deny udp any host <router-interface ...> eq 1975
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 deny ip any 127.0.0.0 0.255.255.255
access-list 100 permit ip any any

interface Serial 0/0
  ip access-group 100 in

コントロール・プレーン・ポリシングの使用

影響を受けるデバイス向けの、信頼できないUDPポート1975アクセスをブロックするために、コントロール・プレーン・ポリシング(CoPP)を使用することができます。 Cisco IOSソフトウェアリリース12.2BCおよび12.2SCAはCoPP機能をサポートします。 CoPPをデバイスに設定することにより、既存のセキュリティーポリシーとコンフィギュレーションに従って、明示的に認定されたトラフィックだけがインフラストラクチャデバイス宛に送信されることを許可され、インフラストラクチャへの直接攻撃のリスクとその効果を最小限に抑え、管理およびコントロールプレーンが保護されます。以下の例がネットワークに適用できます。

注： CoPPはuBR10012シリーズデバイスでサポートされません。

!-- Permit all UDP/1975 traffic so that it
!-- will be policed and dropped by the CoPP feature
!
access-list 111 permit udp any any eq 1975
access-list 111 permit ip any 127.0.0.0 0.255.255.255
access-list 111 permit ip 127.0.0.0 0.255.255.255 any
!
!-- Permit (Police or Drop)/Deny (Allow) all other Layer 3 and
!-- Layer 4 traffic in accordance with existing security policies
!-- and configurations for traffic that is authorized to be sent
!-- to infrastructure devices
!
!-- Create a Class-Map for traffic to be policed by the CoPP
!-- feature
!
class-map match-all drop-IPC-class
  match access-group 111
!
!-- Create a Policy-Map that will be applied to the Control-Plane
!-- of the device
!
policy-map drop-IPC-traffic
  class drop-IPC-class
    drop
!
!-- Apply the Policy-Map to the Control-Plane of the device
!
control-plane
  service-policy input drop-IPC-traffic
!

上記のCoPPの設定例では、アクセス コントロール リストエントリー(ACE)のpermitアクションに一致し攻撃である可能性のあるパケットはpolicy-map "drop"によって破棄され、(表示されていない)denyアクションと一致するパケットはpolicy-map "drop"の影響を受けません。

Cisco IOS 12.2Sおよび12.0Sトレインでは、policy-mapの定義文が相違することに注意してください:

!
policy-map drop-IPC-traffic class drop-IPC-class
  police 32000 1500 1500 conform-action drop exceed-action drop
!

CoPP機能の設定、および使用に関するその他の情報はhttp://www.cisco.com/web/about/security/intelligence/coppwp_gs.html、http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6642/prod_white_paper0900aecd804fa16a.htmlおよびhttp://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gtrtlimt.htmlで、確認することができます。

ネットワーク境界のインフラストラクチャACLの使用

ネットワークを通過するトラフィックをブロックすることは多くの場合困難ですが、基幹デバイスをターゲットにしたトラフィックを許可せずに、ネットワーク境界においてそのトラフィックをブロックすることは可能です。 iACLsはネットワークセキュリティ最良の方法ですので、よいネットワークセキュリティ方法として長期的に適用することを考慮すべきです。 また、特定の脆弱性の対応策にもなります。 次のiACL例は、基幹デバイスのIPアドレスを含むIPアドレス範囲を保護するために、インフラストラクチャ・アクセスリストの一部として含まれるべき項目です:

!-- Note: IPC packets sent to UDP destination port 1975 must not
!--       be permitted from any trusted source as this traffic
!--       should only be sent and received internally by the
!--       affected device using an IP address allocated from the
!--       127.0.0.0/8 prefix.
!--
!--       IPC that traffic that is internally generated and sent
!--       and/or received by the affected device is not subjected
!--       to packet filtering by the applied iACL policy.
!
!-- Deny IPC (UDP port 1975) packets from all sources destined to
!-- all IP addresses configured on the affected device.
!
access-list 150 deny udp any host INTERFACE_ADDRESS#1 eq 1975
access-list 150 deny udp any host INTERFACE_ADDRESS#2 eq 1975
access-list 150 deny udp any host INTERFACE_ADDRESS#N eq 1975
!
!-- Deny all IP packets with a source or destination IP address 
!-- from the 127.0.0.0/8 prefix.
!
access-list 150 deny ip 127.0.0.0 0.255.255.255 any
access-list 150 deny ip any 127.0.0.0 0.255.255.255
!
!-- Permit/deny all other Layer 3 and Layer 4 traffic in accordance
!-- with existing security policies and configurations.
!
!-- Permit all other traffic to transit the device.
!
access-list 150 permit ip any any
!
!-- Apply iACL to interfaces in the ingress direction.
!
interface GigabitEthernet0/0
  ip access-group 150 in
!

注： ポート1975に向かうUDPパケットをフィルタリングするアクセス・リストをこの脆弱性を軽減するために使用することができます。 ただし、UDPポート1975は、ある特定のアプリケーションが使用できる登録済みのポート番号です。 UDPポート1975に向かうすべてのパケットをフィルタリングすることで、いくつかのアプリケーションが誤動作するかもしれません。 したがって iACLポリシーでは、ルータの全てのインターフェイスのIPアドレス宛に送信されるUDP宛先ポート 1975のパケットを明示的に拒否する必要があります。そして、その他のレイヤ3、ならびにレイヤ4トラフィックは、セキュリティ方針や定義にしたがって、認可したり拒否した上で、機器を通過するその他のトラフィックを許可する必要があります。 iACLsが効果的に使用されるためには、すべてのインターフェイスに適用する必要があります。 IPCチャネルは127.0.0.0/8の範囲のアドレスを使うので、上記の例のようにこの範囲を送信元か送信先にしたパケットをフィルタリングすることもまた必要です。

インフラストラクチャ・プロテクション・アクセス・リストのガイドライン、および推奨される設定技術については、"Protecting Your Core: Infrastructure Protection Access Control Lists" と名付けられた white paperを参照願います。このwhite paperは、こちらより入手できます:

http://www.cisco.com/en/US/tech/tk648/tk361/technologies_white_paper09186a00801a1a55.shtml

追加の軽減技術

ネットワーク内のCiscoデバイスで展開可能な、このアドバイザリの追加の軽減技術については、付属ドキュメントである Cisco Applied Mitigation Bulletinを参照ください:

http://www.cisco.com/warp/public/707/cisco-amb-20080924-ipc-and-ubr.shtml

Ciscoはこれらの脆弱性対応用の無償ソフトウェアを提供しています。 ソフトウェアの導入を行う前に、機能のソフトウェアの互換性およびお客様のネットワーク環境に特有の問題に関して確認いただくか、あるいはお客様のメンテナンスプロバイダーにご相談ください。

お客様がインストールしたり、サポートを受けたりできるのは、ご購入いただいたフィーチャーセットに対してのみとなります。 そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様はhttp://www.cisco.com/en/US/products/prod_warranties_item09186a008088e31f.htmlにあるシスコのソフトウェア ライセンスの条項または http://www.cisco.com/public/sw-center/sw-usingswc.shtml にある Cisco.com のダウンロードに示されるその他の条項に従うことに同意したことになります。

ソフトウェアのアップグレードに関し、"psirt@cisco.com" もしくは "security-alert@cisco.com" にお問い合わせいただくことはご遠慮ください。

ご契約を有するお客様

サードパーティのサポート会社をご利用のお客様

サービス契約をご利用でないお客様

Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例とその公表は確認しておりません。

この脆弱性は内部で発見されました。

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 Ciscoはこの文書をいつでも変更するか、またはアップデートする権利を所有します。

後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して、独自の複製・ 意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。

本アドバイザリーは、以下のシスコのワールドワイドウェブサイト上に掲載されます。

http://www.cisco.com/warp/public/707/cisco-sa-20080924-ipc.shtml

ワールドワイドのウェブ以外にも、次の電子メールおよび Usenet ニュースの受信者向けに、この通知のテキスト版がシスコ PSIRT PGP キーによるクリア署名つきで投稿されています。

• cust-security-announce@cisco.com
• first-bulletins@lists.first.org
• bugtraq@securityfocus.com
• vulnwatch@vulnwatch.org
• cisco@spot.colorado.edu
• cisco-nsp@puck.nether.net
• full-disclosure@lists.grok.org.uk
• comp.dcom.sys.cisco@newsgate.cisco.com

この通知に関する今後の最新情報は、いかなるものもシスコのワールドワイドウェブに掲載される予定です。しかしながら、前述のメーリングリストもしくは ニュースグループに 対し積極的に配信されるとは限りません。この問題に関心があるお客様は上記 URL にて最 新情報をご確認いただくことをお勧めいたします。 この問題について心配するユーザはあらゆるアップデートがあるように上のURLを確認するように勧められます。

Cisco製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およびCiscoからセキュリティ情報を入手するための登録方法について詳しく知るには、Ciscoワールドワイドウェブサイトの http://www.cisco.com/en/US/products/products_security_vulnerability_policy.htm にアクセスしてください。 このページにはCiscoのセキュリティ通知に関してメディアが問い合わせる際の指示が掲載されています。 全てのCiscoセキュリティアドバイザリは http://www.cisco.com/go/psirt で確認することができます。