日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
IOSを実行し、Border Gateway Protocol(BGP;ボーダーゲートウェイプロトコル)が有効になっているシスコデバイスは、不正なBGPパケットによるDenial of Service(DOS;サービス拒否)攻撃に対して脆弱です。BGPプロトコルはデフォルトでは有効になっていないため、明示的に定義されたピアからのトラフィックを受け入れるように設定する必要があります。悪意のあるトラフィックが設定された信頼できるピアから送信されたと思われない限り、不正なパケットを挿入することは困難です。
シスコでは、この問題に対処する無償ソフトウェアを提供しています。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20040616-bgpで入手できます。
該当製品
このセクションには、該当製品に関する詳細が掲載されています。
脆弱性のある製品
この問題は、Cisco IOSまたはCisco IOS XRコードのいずれかの未修正バージョンを実行し、BGPルーティング用に設定されているすべてのシスコデバイスに影響を与えます。
BGPプロセスを実行しているルータの設定には、AS番号を定義する行が含まれています。この行は、show running-config:
router bgp
この脆弱性は、BGPプロトコルのサポートが開始された時点から、バージョン9.x、10.x、11.x、および12.xを含む、修正されていないバージョンのIOSに存在します。
この脆弱性は、バージョン2.0.Xおよび3.0.Xを含むBGPプロトコルのサポートの開始時点から、IOS XRの未修正バージョンに存在します
Cisco 製品で稼働しているソフトウェアを確認するには、デバイスにログインし、show version コマンドを発行してシステム バナーを表示します。Cisco IOSソフトウェアは、「Internetwork Operating System Software」または単に「IOS®」と表示されます。 出力の次の行では、イメージ名がカッコで囲まれて表示され、その後に「Version」とIOSリリース名が続きます。その他の Cisco デバイスには show version コマンドがないか、異なる出力が返されます。
次の例は、IOSリリース12.0(3)を実行し、インストールされているイメージ名がC2500-IS-Lであるシスコ製品を示しています。
Cisco Internetwork Operating System Software IOS (TM) 2500 Software (C2500-IS-L), Version 12.0(3), RELEASE SOFTWARE
リリーストレインラベルは「12.0」です。
次の例は、IOSリリース12.0(2a)T1を実行し、イメージ名がC2600-JS-MZである製品を示しています。
Cisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-JS-MZ), Version 12.0(2a)T1, RELEASE SOFTWARE (fc1)
Cisco IOSリリースの命名規則の詳細については、http://www.cisco.com/warp/public/620/1.htmlを参照してください。
脆弱性を含んでいないことが確認された製品
脆弱性が存在しないことが確認された製品には、BGPに参加できないデバイスや、BGP用に設定できないデバイスが含まれます。
詳細
Border Gateway Protocol(BGP;ボーダーゲートウェイプロトコル)は、RFC 1771で定義されているルーティングプロトコルで、大規模なネットワークでのIPルーティングを管理するように設計されています。脆弱性のあるバージョンのCisco IOSソフトウェアを実行し、BGPプロトコルを有効にしている該当シスコデバイスでは、不正なBGPパケットを受信するとリロードが発生します。BGPはTCP上で動作します。これは信頼性の高いトランスポートプロトコルであり、それ以上のメッセージが受け入れられる前に有効な3ウェイハンドシェイクが必要です。Cisco IOSのBGP実装では、接続を確立する前にネイバーを明示的に定義する必要があり、トラフィックはそのネイバーから到達しているように見える必要があります。これらの実装の詳細により、不正な送信元からCisco IOSデバイスにBGPパケットを送信することは非常に困難になります。
無効なBGPパケットを受信したシスコデバイスはリセットされ、完全に機能するまでに数分かかる場合があります。この脆弱性が繰り返し悪用されると、長時間にわたるDOS攻撃が発生する可能性があります。この問題は、Bug ID CSCdu53656(登録ユーザ専用)およびCSCea28131(登録ユーザ専用)に記載されています。
回避策
回避策の効果は、製品の組み合わせ、ネットワークトポロジ、トラフィックの動作、組織のミッションなど、お客様の状況によって異なります。該当する製品とリリースは多岐に渡るので、サービス プロバイダーやサポート機関に連絡し、ネットワーク内で使用するのに最も適した回避策を確認してから、実際に配備することを推奨いたします。
BGPセキュリティリスクアセスメント、軽減方法、導入のベストプラクティスに関する詳細については、ftp://ftp-eng.cisco.com/cons/isp/security/BGP-Risk-Assesment-v.pdfを参照してください。
BGP MD5
通常の状況では、シーケンス番号のチェックなど、TCPプロトコルに固有のセキュリティ要因により、この問題を不正利用するための適切なパケットを偽造することは困難ですが、可能です。Cisco IOSデバイスでBGP MD5認証を設定することは、脆弱性のあるデバイスを保護するための有効な回避策です。
これは、次の例に示すように設定できます。
router(config)# router bgp router(config-router)# neighbor <IP_address> password <enter_your_secret_here>
両方のピアで同時に同じ共有MD5シークレットを設定する必要があります。そうしないと、既存のBGPセッションが中断され、両方のデバイスで完全に同じシークレットが設定されるまで、新しいセッションは確立されません。BGPの設定方法の詳細については、次の文書を参照してください。
シークレットを設定したら、定期的に変更することをお勧めします。正確な期間は会社のセキュリティポリシーに適合している必要がありますが、数ヵ月以上は必要ありません。シークレットを変更する場合も、両方のデバイスで同時に行う必要があります。そうしないと、既存のBGPセッションが中断されます。ただし、Cisco IOSソフトウェアリリースに統合CSCdx23494(登録ユーザ専用)修正が接続の両側に含まれている場合は例外です。この修正を適用すると、MD5シークレットが一方の側でのみ変更された場合にBGPセッションが終了しなくなります。ただし、両方のデバイスで同じシークレットが設定されるか、両方のデバイスからシークレットが削除されるまで、BGPアップデートは処理されません。
インフラストラクチャ アクセス コントロール リスト
ネットワークを移動するトラフィックをブロックするのは往々にして困難ですが、インフラストラクチャ デバイスに送られてはならないトラフィックを識別し、ネットワークの境界でそのトラフィックをブロックすることは可能です。インフラストラクチャ ACL はネットワーク セキュリティのベスト プラクティスと考えられており、ここでの特定の脆弱性の回避策としてだけでなく、優れたネットワーク セキュリティへの長期的な付加機能として考慮する必要があります。ホワイトペーパー『Protecting Your Core: Infrastructure Protection Access Control Lists』では、インフラストラクチャ保護ACLのガイドラインと推奨される導入方法について説明しています。
修正済みソフトウェア
注:この表のリリースの多くは、他のIOSアドバイザリがリリースされる前に修正されています。表を注意深く読み、ご使用のIOSリリースにこれらの修正が含まれているかどうかを判断してください。https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20040420-snmpやhttps://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20040420-tcp-iosなどのTCPおよびSNMPアドバイザリのほとんどの修正済みリリースには、このBGPアドバイザリに対する修正が含まれています。
Cisco IOS ソフトウェアの表(下掲)の各行には、リリース トレインとそれに対応するプラットフォームまたは製品が記載されています。特定のリリーストレインに脆弱性が存在する場合、修正を含む最初のリリース(「最初の修正リリース」)とそれぞれのリリースのリリース予定日が「再構築」、「暫定」、および「メンテナンス」の各列に表示されます。特定の列に記されているリリースよりも古い(第 1 修正済みリリースより古い)トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。このようなリリースは、少なくとも、示されているリリース以上(最初の修正リリース ラベル以上)にアップグレードしてする必要があります。リリースを選択するときは、次の定義を念頭においてください。
メンテナンス
表の特定の行で最も頻繁にテストされ、安定した、強く推奨されるリリース群。
リビルド
同じトレインの以前のメンテナンスまたはメジャーリリースから構成され、特定の不具合の修正が含まれます。テストは十分ではありませんが、脆弱性を修正するために必要な最小限の変更だけが含まれています。
Interim
メンテナンスリリース間の定期的な間隔で構築され、受け取るテストが少なくなります。暫定は、脆弱性に対応しているリリースが他にない場合にだけ選択してください。暫定イメージは、次のメンテナンス リリースが利用可能になった後、すぐにアップグレードする必要があります。暫定リリースは製造過程では入手できず、通常はCisco TACとの事前の調整がない限り、Cisco.comからダウンロードすることはできません。
すべての場合において、アップグレードするデバイスに十分なメモリが実装されており、現在のハードウェアおよびソフトウェアの構成が新しいソフトウェア リリースでも適切にサポートされていることを確認する必要があります。情報が明確でない場合は、Cisco TACに連絡して、下記の「修正済みソフトウェアの入手」セクションに示されているサポートを依頼してください。
Cisco IOS ソフトウェアのリリース名および省略形の詳細は、http://www.cisco.com/warp/public/620/1.html620 を参照してください。
修正は、http://www.cisco.com/tacpage/sw-center/ の Software Center から入手できます。
ソフトウェアのインストールおよびアップグレード手順については、http://www.cisco.com/warp/public/130/upgrade_index.shtmlを参照してください。
Cisco IOSのすべてのポスト済みイメージと修復済みイメージの現在のビューについては、登録ユーザのCisco.comにあるhttp://www.cisco.com/tacpage/sw-center/sw-ios.shtmlのリストを確認してください。
| メジャー リリース |
修正済みリリースの可用性* |
||
|---|---|---|---|
| 該当する 11.1 ベースのリリース |
リビルド |
暫定 |
メンテナンス |
| 11.1 |
11.2以降への移行が必要 |
||
| 11.1AA |
11.2P以降への移行が必要 |
||
| 11.1CA |
12.0以降への移行が必要 |
||
| 11.1CC |
12.0以降への移行が必要 |
||
| 該当する 11.2 ベースのリリース |
リビルド |
暫定 |
メンテナンス |
| 11.2 |
11.2(26g) |
||
| 11.2P |
11.2(26)P7 |
||
| 11.2SA |
脆弱性なし |
||
| 該当する 11.3 ベースのリリース |
リビルド |
暫定 |
メンテナンス |
| 11.3 |
11.3(11f) |
||
| 11.3T |
11.3(11b)T5 |
||
| 該当する 12.0 ベースのリリース |
リビルド |
暫定 |
メンテナンス |
| 12.0 |
12.0(27) |
||
| 12.0DA |
12.2DA以降への移行が必要 |
||
| 12.0S |
12.0(21)S7 |
||
| 12.0(22)S2e |
|||
| 12.0(22)S3c |
|||
| 12.0(22)S4a |
|||
| 12.0(22)S5 |
|||
| 12.0(23)S3 |
|||
| 12.0(24)S2 |
|||
| 12.0(25)S1 |
|||
| 12.0(26)S |
|||
| 12.0SL |
12.0(23)S3以降への移行が必要 |
||
| 12.0ST |
12.0(17)ST10ご要望に応じて提供 |
||
| 12.0(21)ST7 |
|||
| 12.0(26)S2以降への移行が必要 |
|||
| 12.0 SV |
12.0(27)SV |
||
| 12.0SX |
12.0(25)SX |
||
| 12.0SZ |
12.0(23)SZ3 |
||
| 12.0(26)SZ |
|||
| 12.0(26)S2以降への移行が必要 |
|||
| 12.0T |
12.1以降への移行が必要 |
||
| 12.0W5 |
12.0(16)W5(21c) |
||
| 12.0(25)W5(27b) |
|||
| 12.0(26)W5(28a) |
|||
| 12.0(27)W5(29) |
|||
| 12.0WC |
脆弱性なし |
||
| 12.0WX |
12.0W5以降への移行 |
||
| 12.0XA |
最新の12.1以降に移行 |
||
| 12.0XC |
最新の12.1以降に移行 |
||
| 12.0XD |
最新の12.1以降に移行 |
||
| 12.0XE |
最新の12.1E以降への移行 |
||
| 12.0XG |
最新の12.1以降に移行 |
||
| 12.0XH |
最新の12.1以降に移行 |
||
| 12.0XI |
最新の12.1以降に移行 |
||
| 12.0XJ |
最新の12.1以降に移行 |
||
| 12.0XK |
最新の12.1T以降への移行 |
||
| 12.0XL |
最新の12.2以降に移行 |
||
| 12.0XN |
最新の12.1以降に移行 |
||
| 12.0XP |
脆弱性なし |
||
| 12.0XR |
最新の12.2以降に移行 |
||
| 12.0XS |
最新の12.1E以降への移行 |
||
| 12.0XU |
脆弱性なし |
||
| 該当する 12.1 ベースのリリース |
リビルド |
暫定 |
メンテナンス |
| 12.1 |
12.1(20) |
||
| 12.1AA |
最新の12.2以降に移行 |
||
| 12.1AX |
脆弱性なし |
||
| 12.1AY |
脆弱性なし |
||
| 12.1AZ |
12.1(14)AZ |
||
| 12.1DA |
12.2DA以降への移行が必要 |
||
| 12.1DB |
12.2B以降への移行 |
||
| 12.1E |
12.1(6)E12.0 |
||
| 12.1(8b)E14 |
|||
| 12.1(11b)E12.0 |
|||
| 12.1(12c)E7 |
|||
| 12.1(13)E6 |
|||
| 12.1(14)E4 |
|||
| 12.1(19)E |
|||
| 12.1(20)E |
|||
| 12.1EA |
12.1(14)EA1 |
||
| 12.1EB |
12.1(14)EB1 |
||
| 12.1EC |
12.1(19)EC |
||
| 12.1EO |
12.1(19)EO |
||
| 12.1EV |
12.1(12c)EV2 |
||
| 12.1EW |
12.1(19)EW |
||
| 12.1EX |
12.1(14)E4以降への移行が必要 |
||
| 12.1EY |
12.1(14)E4以降への移行が必要 |
||
| 12.1T |
12.1(5)T19 |
||
| 12.1XA |
12.1(5)T19以降への移行が必要 |
||
| 12.1XB |
12.1(5)T19以降への移行が必要 |
||
| 12.1XC |
12.1(5)T19以降への移行が必要 |
||
| 12.1XD |
12.2以降への移行が必要 |
||
| 12.1XE |
最新の12.1E以降への移行 |
||
| 12.1XF |
12.2(4)T6以降への移行が必要 |
||
| 12.1XG |
12.2(4)T6以降への移行が必要 |
||
| 12.1XH |
12.2以降への移行が必要 |
||
| 12.1XI |
最新の12.2以降に移行 |
||
| 12.1XJ |
12.2(4)T6以降への移行が必要 |
||
| 12.1XL |
最新の12.2T以降への移行 |
||
| 12.1XM |
最新の12.2T以降への移行 |
||
| 12.1XP |
12.2(4)T6以降への移行が必要 |
||
| 12.1XQ |
最新の12.2T以降への移行 |
||
| 12.1XR |
最新の12.2T以降への移行 |
||
| 12.1XT |
12.2(4)T6以降への移行が必要 |
||
| 12.1XU |
最新の12.2T以降への移行 |
||
| 12.1XV |
12.2XB以降への移行が必要 |
||
| 12.1XY |
12.2XB以降への移行が必要 |
||
| 12.1YA |
12.2(8)T10以降への移行が必要 |
||
| 12.1YB |
12.2(4)T6以降への移行が必要 |
||
| 12.1YC |
12.2(8)T10以降への移行が必要 |
||
| 12.1YD |
12.2(8)T10以降への移行が必要 |
||
| 12.1YH |
12.2(13)T5以降への移行が必要 |
||
| 12.1YJ |
脆弱性なし |
||
| 該当する 12.2 ベースのリリース |
リビルド |
暫定 |
メンテナンス |
| 12.2 |
12.2(10d) |
||
| 12.2(12e) |
|||
| 12.2(12h)M1 |
|||
| 12.2(13c) |
|||
| 12.2(16a) |
|||
| 12.2(17) |
|||
| 12.2B |
12.2(15)B1 |
||
| 12.2BC |
12.2(15)BC1 |
||
| 12.2BW |
12.2(15)T12以降への移行が必要 |
||
| 12.2BX |
12.2(16)BX |
||
| 12.2BY |
12.2(15)B1以降への移行が必要 |
||
| 12.2BZ |
12.2(16)BX以降への移行が必要 |
||
| 12.2CX |
12.2(15)CX |
||
| 12.2DA |
12.2(12)DA6 |
||
| 12.2DD |
12.2(15)B1以降への移行が必要 |
||
| 12.2DX |
12.2(15)B1以降への移行が必要 |
||
| 12.2EW |
12.2(18)EW |
||
| 12.2JA |
12.2(13)JA |
||
| 12.2S |
12.2(14)S2 |
||
| 12.2(18)S |
|||
| 12.2SE |
12.2(18)SE |
||
| 12.2SU |
12.2(14)SU |
||
| 12.2SV |
12.2(18)SV |
||
| 12.2SW |
12.2(18)SW |
||
| 12.2SX |
12.2(14)SX2 |
||
| 12.2SXA |
12.2(17b)SXA |
||
| 12.2SXB |
12.2(17d)SXB |
||
| 12.2SY |
12.2(14)SY |
||
| 12.2SZ |
12.2(14)SZ2 |
||
| 12.2T |
12.2(4)T6 |
||
| 12.2(8)T10 |
|||
| 12.2(11)T9 |
|||
| 12.2(13)T5 |
|||
| 12.2(15)T4 |
|||
| 12.2XA |
12.2(11)T9以降への移行が必要 |
||
| 12.2XB |
12.2(2)XB16 |
||
| 12.2XD |
12.2(8)T10以降への移行が必要 |
||
| 12.2XE |
12.2(8)T10以降への移行が必要 |
||
| 12.2XG |
12.2(8)T10以降への移行が必要 |
||
| 12.2XH |
12.2(11)T9以降への移行が必要 |
||
| 12.2XI |
12.2(11)T9以降への移行が必要 |
||
| 12.2XJ |
12.2(11)T9以降への移行が必要 |
||
| 12.2XK |
12.2(11)T9以降への移行が必要 |
||
| 12.2XL |
12.2(15)T4以降への移行が必要 |
||
| 12.2XM |
12.2(15)T4以降への移行が必要 |
||
| 12.2XN |
12.2(11)T9以降への移行が必要 |
||
| 12.2XQ |
12.2(11)T9以降への移行が必要 |
||
| 12.2XS |
12.2(11)T9以降への移行が必要 |
||
| 12.2XT |
12.2(11)T9以降への移行が必要 |
||
| 12.2XU |
12.2(15)T12以降への移行が必要 |
||
| 12.2XW |
12.2(11)T9以降への移行が必要 |
||
| 12.2YA |
12.2(15)T4以降への移行が必要 |
||
| 12.2YB |
12.2(15)T4以降への移行が必要 |
||
| 12.2YC |
12.2(11)T11以降への移行が必要 |
||
| 12.2YD |
12.2(8)YY以降への移行が必要 |
||
| 12.2YE |
12.2S以降への移行 |
||
| 12.2YF |
12.2(15)T4以降への移行が必要 |
||
| 12.2YG |
12.2(13)T5以降への移行が必要 |
||
| 12.2YH |
12.2(15)T4以降への移行が必要 |
||
| 12.2YJ |
12.2(15)T4以降への移行が必要 |
||
| 12.2YL |
12.3(2)T以降への移行が必要 |
||
| 12.2YM |
12.3(2)T以降への移行が必要 |
||
| 12.2YN |
12.3(2)T以降への移行が必要 |
||
| 12.2YO |
12.2(14)SY以降への移行が必要 |
||
| 12.2YP |
12.2(11)YP1 |
||
| 12.2YQ |
12.3(4)T以降への移行が必要 |
||
| 12.2YR |
12.3(4)T以降への移行が必要 |
||
| 12.2YS |
12.3T以降への移行が必要 |
||
| 12.2YT |
12.2(15)T4以降への移行が必要 |
||
| 12.2YU |
12.3(4)T以降への移行が必要 |
||
| 12.2YV |
12.3(4)T以降への移行が必要 |
||
| 12.2YW |
12.3(2)T以降への移行が必要 |
||
| 12.2YX |
12.2(14)SU以降への移行が必要 |
||
| 12.2YY |
12.2(8)YY3 |
||
| 12.2YZ |
12.2(14)SZ以降への移行が必要 |
||
| 12.2ZA |
12.2(14)ZA2 |
||
| 12.2ZB |
12.3T以降への移行が必要 |
||
| 12.2ZC |
12.3T以降への移行が必要 |
||
| 12.2ZE |
12.3以降への移行が必要 |
||
| 12.2ZF |
12.3(4)T以降への移行が必要 |
||
| 12.2ZG |
12.3(4)T以降への移行が必要 |
||
| 12.2ZH |
12.3(4)T以降への移行が必要 |
||
| 12.2ZI |
12.2(18)S以降への移行が必要 |
||
| 12.2ZK |
12.2(15)ZK |
||
| 12.2ZL |
12.2(15)ZL |
||
| 12.2ZN |
12.3(2)T以降への移行が必要 |
||
| 12.2ZO |
12.2(15)ZO |
||
| 12.2ZP |
12.2(13)ZP |
||
| 該当する 12.3 ベースのリリース |
リビルド |
暫定 |
メンテナンス |
| 12.3 |
脆弱性なし |
||
| 12.3T |
脆弱性なし |
||
| 製品 |
First Fixed Release(修正された最初のリリース) |
|---|---|
| Cisco IOS XR |
IOS XR 3.2.5 |
不正利用事例と公式発表
この脆弱性が発見された原因となった研究は、2003年6月にNANOGで発表されました。Cisco PSIRTチームでは、このアドバイザリに記載されている脆弱性の悪用に関する情報を入手していません。この問題は、内部テストと、カリフォルニア大学サンタバーバラ校の研究チームからの通知を通じて認識されました。
Cisco PSIRTでは、このアドバイザリに記載されている脆弱性の不正利用事例は確認しておりません。
URL
改訂履歴
| リビジョン 1.1 |
2006年1月12日 |
「脆弱性が存在する製品」セクションを更新。「ソフトウェアバージョンと修正」セクションに「製品/最初の修正リリース」の表を追加。 |
| リビジョン 1.0 |
2004年6月16日 |
初版リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。