音声とユニファイド コミュニケーション : Cisco Unified Communications Manager(CallManager)

Cisco Security Notice: Nachi ワームの影響を軽減するための推奨事項

2003 年 11 月 10 日 - ライター翻訳版
その他のバージョン: PDFpdf | フィードバック

目次

概要
詳細情報
検出方法
     IOS の NetFlow を有効にして感染したホストを検出する
     Catalyst 6500 上の CatOS および IOS と MLS を使用して、感染したホストを検出する
     CSIDS のシグニチャ
症状
該当製品
ソフトウェアのバージョンおよび修正
     Cisco Secure ACS Solution Engine/Cisco Secure ACS Appliance
     Cisco CallManager、Cisco Customer Response Server/Cisco IP Contact Center Express、Cisco Personal Assistant、Cisco Conference Connection、Cisco Emergency Responder
     Cisco Building Broadband Service Manager
     その他の Windows ベースのシスコ製品
修正済みソフトウェアを入手する
回避策
     Cisco Express Forwarding(CEF)を有効にする
     IOS のポリシー ベース ルーティング
     モジュラ QoS コマンドライン インターフェイス
     IOS 用 ACL
     Cisco 12000
     6500 上の VACL
     Catalyst 3550
     Catalyst 2950
     Catalyst 2900XL および 3500XL
     PIX
     Cisco Security Agent(CSA)
不正利用および公表
この通知のステータス: 暫定版
配信
改訂履歴
シスコのセキュリティ手順
関連するシスコ サポート コミュニティ ディスカッション
関連情報

要約

現在、インターネット上に広がっている新しいワームが原因で、内部システムと外部システムの両方から大量のネットワーク トラフィックが発生しています。 このワームが引き起こすネットワーク上の問題の多くは、大量の 92 バイト ICMP タイプ 8(エコー要求)パケットが原因です。 シスコ製デバイスの症状としては、CPU 使用率の上昇および入力インターフェイスでのトラフィックの廃棄が見られますが、他の症状が起こる可能性もあります。 この文書では、症状の軽減方法および該当するシスコ製品を説明します。これらの製品には、シスコが提供するソフトウェア パッチまたは Microsoft が提供するオペレーティング システムのパッチを正しく適用する必要があります。

このワームは「Nachi」と呼ばれています。 このワームは、Microsoft が以前に開示した 2 種類の脆弱性を不正に利用しています。詳細については、次の URL を参照してください。

http://www.microsoft.com/technet/security/bulletin/MS03-026.asp leavingcisco.com

http://www.microsoft.com/technet/security/bulletin/MS03-007.asp leavingcisco.com

MS03-026 のパッチが適用されていないシステムを不正利用するワームは、現在 2 種類あり、それぞれ Nachi および Blaster と呼ばれています。 この文書では、Nachi の症状を軽減する方法を説明します。Blaster の症状を軽減する方法は、http://www.cisco.com/cisco/web/support/JP/100/1006/1006458_cisco-sn-20030814-blaster-j.html にある別の文書で説明します。 これらの問題に軽減方法を実行する際には、両方の文書を検討してください。

詳細情報

このワームの詳細情報は Microsoft の次の Web サイトに説明されています。 http://www.microsoft.com/technet/Security/alerts/nachi.mspxleavingcisco.com .

このワームの影響は、ワームの感染、さらなる感染先のスキャン、および実行形式コードの伝播に必要とされるプロトコルとポートをブロックすることで軽減できます。 この文書では、内部ネットワークが感染する前または後に、ワームの感染が広がるのを防ぐ方法を中心に説明します。 このワームは有効なプロトコルとポートを使用して広がります。 これらのポートをブロックすると、ネットワーク監視、ファイル共有、TFTP などの既存の機能が動作しなくなる可能性があります。 すべてのネットワーク設定と同様に、シスコでは、通常時のベースライン トラフィックを文書化し、その情報に基づいて、ネットワークのポートまたはトラフィックをブロックするかどうかを判断することをお勧めします。 ネットワークの機能を損なわないように、ポートのブロックは慎重に行ってください。 以下に、これらのポートの一般的な用途を簡単に列挙します。

エコー要求とも呼ばれる ICMP プロトコル タイプ 8 は、接続テストおよびネットワーク監視用として知られている「ping」ユーティリティに使用されています。 このプロトコルをブロックすると、ワームの感染拡大を防止できる可能性がありますが、ネットワーク診断に問題が発生する場合があります。

TCP ポート 135 は MS RPC プロトコル用に使用されます。 このポートは、Windows Internet Name Services(WINS)、DHCP サーバ、ターミナル サービスなどのサービスに依存している RPC ベースの多くのアプリケーションに必要です。 これが、MS03-026 に記述されている MS RPC DCOM の脆弱性を利用した脆弱性が最初に不正使用され、コンピュータを完全に感染させるための一連のイベントが開始されるポートの 1 つです。 ポート 135 をブロックすると最初の感染は防止できますが、ネットワーク内のその他の機能が使用できなくなる可能性があります。

TCP ポート 80 は、HyperText Transport Protocol(HTTP)に使用されます。 このポートは、主に Worldwide Web(WWW; ワールドワイド ウェブ)サーバによって使用されます。 Nachi ワームは、コンピュータを感染させるために、MS03-007 に記述されている脆弱性を不正に利用しようとします。 ポート 80 をブロックすると最初の感染は防止できますが、Web ベースのアプリケーションが動作しなくなる可能性があります。

TCP ポート 707 は、感染したサーバから svchost.exe および dllhost.exe というファイルをダウンロードするためのコマンドを渡す制御チャネルとして、このワームが利用します。 ポート 707 をブロックすると、ワームのバイナリをダウンロードするためのコマンドが脆弱なターゲット コンピュータに渡されなくなるので、感染を防止できます。

UDP ポート 69 は、Trivial File Transport Protocol(TFTP)に使用されており、新しいソフトウェア イメージまたは設定をネットワークに接続されたデバイスにロードするためによく使用されます。 Nachi ワームに感染したホストは、このポートを開放して、すでに感染したコンピュータから新しく不正使用するコンピュータに svchost.exe および dllhost.exe のファイルを転送します。 このポートをブロックすると、すでに感染したコンピュータから脆弱性のあるコンピュータにワームが広がるのを防止できる可能性がありますが、Voice over IP の一部の実装にも利用されている、ネットワーク内の既存の TFTP 機能が使用できなくなる可能性があります。

TCP および UDP の両方、あるいはその一方のポート 137、138、139、593 には、これに関連した脆弱性があり、不正使用に対してホストを開放する可能性があります。ただし、現時点ではこれらが Nachi ワームの感染拡大に直接関係しているとは考えられていません。 シスコでは、不必要なすべてのポート、特に既知の脆弱性があることが判明しているポートの送受信をネットワーク エッジでブロックして、リモートからの不正使用を防ぐことをお勧めします。

検出方法

IOS の NetFlow を有効にして感染したホストを検出する

NetFlow は、感染したホストを特定する強力なツールとして使用できます。 インターフェイス上で IP route-cache flow コマンドを使用して、NetFlow を有効にしてください。 次の例には、感染したホストが ICMP タイプ 8 パケットを使用して IP アドレス空間をスキャンしている状況が示されています。

Router>show ip cache flow | include 0000 0800

        SrcIf      SrcIPaddress    DstIf    DstIPaddress  Pr SrcP DstP    Pkts

        Fa2/0      XX.XX.XX.242    Fa1/0    XX.XX.XX.119  01 0000 0800    1

        Fa2/0      XX.XX.XX.242    Fa1/0    XX.XX.XX.169  01 0000 0800    1

        Fa2/0      XX.XX.XX.204    Fa1/0    XX.XX.XX.63   01 0000 0800    1

        Fa2/0      XX.XX.XX.204    Fa1/0    XX.XX.XX.111  01 0000 0800    1

        Fa2/0      XX.XX.XX.204    Fa1/0    XX.XX.XX.95   01 0000 0800    1

        Fa2/0      XX.XX.XX.204    Fa1/0    XX.XX.XX.79   01 0000 0800    1

    

注: この出力には、ルータを通過するすべての ICMP タイプ 8(エコー)のフローが表示されます。この出力には、ワームに関係しない ICMP フローも表示されます。 Nachi に感染したホストは、ランダムな宛先を持った多くのフローの送信元として表示されます。

Catalyst 6500 上の CatOS および IOS と MLS を使用して、感染したホストを検出する

MLS の統計情報は、感染したホストの追跡に役立ちます。 次の例に示すように、NetFlow を full flow モードにして、送信元ポートと宛先ポートを表示してください。

注: この出力には、ワームに関係しない ICMP フローも表示されます。 Nachi に感染したホストは、ランダムな宛先を持った多くのフローの送信元として表示されます。

ハイブリッドの場合:

Router>(enable)set mls flow full

        Router>show mls statistics entry ip protocol icmp

                                          Last    Used

        Destination IP   Source IP       Prot  DstPrt SrcPrt Stat-Pkts Stat-Bytes

        ---------------- --------------- ----- ------ ------ --------- -----------

          XX.XX.XX.28     XX.XX.XX.10    ICMP  0      0       0          0

          XX.XX.XX.58     XX.XX.XX.28    ICMP  0      0       0          0

          XX.XX.XX.141    XX.XX.XX.223   ICMP  0      0       0          0

          XX.XX.XX.189    XX.XX.XX.1     ICMP  0      0       0          0

          XX.XX.XX.12     XX.XX.XX.19    ICMP  0      0       0          0

          XX.XX.XX.245    XX.XX.XX.137   ICMP  0      0       0          0

          XX.XX.XX.29     XX.XX.XX.22    ICMP  0      0       0          0

ネイティブの場合:

注: このコマンドでは、すべてのプロトコルのフローが表示されます。プロトコルが ICMP になっているフローを探してください。

Router(config)# mls flow ip full

    Router> show mls ip

    Displaying Netflow entries in Supervisor Earl

    DstIP           SrcIP           Prot:SrcPort:DstPort  Src i/f:AdjPtr

    --------------------------------------------------------------------

    Pkts         Bytes       Age   LastSeen  Attributes

    ---------------------------------------------------

    XX.XX.XX.254    XX.XX.XX.14     icmp:0      :0        0   : 0

    0            0           821   16:05:30   L3 - Dynamic

    XX.XX.XX.254    XX.XX.XX.10     icmp:0      :0        0   : 0

    0            0           149   16:05:31   L3 - Dynamic

    XX.XX.XX.254    XX.XX.XX.25     icmp:0      :0        0   : 0

    0            0           817   16:05:32   L3 - Dynamic

    XX.XX.XX.254    XX.XX.XX.10     icmp:0      :0        0   : 0

    1040         58240       821   16:05:36   L3 - Dynamic

    XX.XX.XX.254    XX.XX.XX.10     icmp:0      :0        0   : 0

    0            0           821   16:05:33   L3 - Dynamic

CSIDS のシグニチャ

Cisco Secure Intrusion Detection System(IDS; 侵入検知システム)を使用している場合、次の場所でシグニチャの更新ファイルを提供しています(登録ユーザのみ)。

Cisco Secure IDS のシグニチャ 3327 では、MS03-026 の不正利用の検出が可能です。

検出の誤りを減らすために、シグニチャ 3327 を設定して、ポート 139 および 445 ではなく、ポート 135 だけを検査する必要があります。

または、このワームに対処するためのカスタム シグニチャ文字列を追加する方法もあります。

以下に、その方法を簡単に説明します。


    Engine STRING.UDP

    SigName MS Blast Worm TFTP Request

    ServicePorts 69

    RegexString \x00\x01[Mm][Ss][Bb][Ll][Aa][Ss][Tt][.][Ee][Xx][Ee]\x00

    Direction ToService

    

Cisco Secure IDS のシグニチャ 5364 では、MS03-007 の不正利用の検出が可能です。

または、このワームに対処するためのカスタム シグニチャ文字列を追加する方法もあります。

以下に、その方法を簡単に説明します。

Signature Name    =   IIS WebDAV Overflow

    Engine            = SERVICE.HTTP

    AlarmThrottle     = FireOnce

    DeObfuscate       = True

    Direction         = ToService

    HeaderRegex       = [Tt][Rr][Aa][Nn][Ss][Ll][Aa][Tt][Ee][:][ \t][Ff]

    MaxUriFieldLength = 65000

    MinHits           = 1

    ResetAfterIdle    = 15

    ThrottleInterval  = 15

症状

感染した Microsoft ホストの症状については、http://www.microsoft.com/technet/Security/alerts/nachi.mspx leavingcisco.com にある Microsoft の速報を参照してください。

ネットワーク全体の症状としては、トラフィックの増大により、ファイアウォール、ルータ、およびスイッチの負荷が高まったり、メモリの割り当てに失敗したりする場合があります。 負荷が高まるため、ネットワークが不安定になる場合もあります。 このワームが原因でトラフィックに高い負荷が発生します。

フィルタ対象が一般的すぎると、正当なサービスがフィルタリングされたりブロックされたりするため、不可解なネットワーク障害が発生する場合があります。たとえば、ルータ、IP フォンなどがブートしない場合、これらのデバイスから TFTP サーバにアクセス可能かどうかを確認してください。 これらのデバイスは、Nachi ワームに対して脆弱ではありませんが、ブート時にソフトウェアまたは設定ファイルをロードするために、TFTP の機能を利用している場合があります。

該当製品

製品に脆弱性があるかどうかについては、以下のリストを確認してください。 ソフトウェア バージョンまたは設定情報が示されている場合は、その組み合せにのみ脆弱性があります。 このリストに示されている装置用ソフトウェアには、パッチをシスコからダウンロードして適用する必要があります。

  • Cisco Secure ACS Solution Engine(別名 Cisco Secure ACS Appliance)

  • Cisco CallManager

  • Cisco Building Broadband Service Manager(BBSM)

    • BBSM バージョン 5.1

    • BBSM バージョン 5.2

    • HotSpot 1.0

  • Cisco Customer Response Application Server(CRA)

  • Cisco Personal Assistant

  • Cisco Conference Connection(CCC)

  • Cisco Emergency Responder

Microsoft のオペレーティング システム上で動作するその他のシスコ製品については、次の Microsoft のパッチを適用することを強くお勧めします。http://www.microsoft.com/technet/security/bulletin/MS03-026.aspleavingcisco.com

http://www.microsoft.com/technet/security/bulletin/MS03-007.asp leavingcisco.com

このリストにすべてが網羅されているとは限りません。該当する Microsoft のプラットフォームを使用していると考えられる場合は、Microsoft の速報を参照してください。

  • Cisco Unity

  • Cisco uOne Enterprise Edition

  • Cisco Network Registrar(CNR)

  • Cisco Internet Service Node(ISN)

  • Cisco Intelligent Contact Manager(ICM)(Hosted および Enterprise)

  • Cisco IP Contact Center(IPCC)(Express および Enterprise)

  • Cisco E-mail Manager(CEM)

  • Cisco Collaboration Server(CCS)

  • Cisco Dynamic Content Adapter(DCA)

  • Cisco Media Blender(CMB)

  • TrailHead(Web Gateway ソリューションの一部)

  • Cisco Networking Services for Active Directory(CNS/AD)

  • Cisco SN 5400 シリーズ ストレージ ルータ(Windows サーバへのインターフェイスとなるドライバ)

  • CiscoWorks

    • CiscoWorks VPN/Security Management Solution(CWVMS)

    • User Registration Tool

    • LAN Management Solution

    • Routed WAN Management

    • Service Management

    • VPN/Security Management Solution

    • IP Telephony Environment Monitor

    • Wireless Lan Solution Engine

    • Small Network Management Solution

    • QoS Policy Manager

    • Voice Manager

  • Cisco Transport Manager(CTM)

  • Cisco Broadband Troubleshooter(CBT)

  • DOCSIS CPE Configurator

  • Cisco Secure アプリケーション

    • Cisco Secure Scanner

    • Cisco Secure Policy Manager(CSPM)

    • Access Control Server(ACS)

  • テレビ会議用アプリケーション

    • IP/VC 3540 Video Rate Matching Module

    • IP/VC 3540 Application Server

ソフトウェアのバージョンおよび修正

Cisco Secure ACS Solution Engine/Cisco Secure ACS Appliance

ソフトウェア バージョン 3.2.1 が影響を受けます。 CiscoSecure ACS Solution Engine Hotfix KB824146 バージョン 3.2(1.20)では、Microsoft のパッチ MS03-026 に取って代わる MS03-039 を適用し、TCP/UDP 137、138、445 の各ポートを無効にすることによって基盤となるオペレーティング システムに他のセキュリティ対策を追加することで、この脆弱性を解決しています。

このファイルは、http://www.cisco.com/pcgi-bin/tablebuild.pl/solution_engine からダウンロードできます。

ソフトウェア リリース 3.2.2 以上には、このパッチが含まれます。

どのバージョンがインストールされており、Cisco Secure ACS Solution Engine にホットフィックスまたはパッチが存在するかを確認するには、System Configuration メニューをチェックしてから、Appliance Upgrade Status 項目を選択します。

アップグレード手順またはホットフィックスを CiscoSecure ACS Solution Engine に適用する手順は、 http://www.cisco.com/univercd/cc/td/doc/product/access/acs_soft/csacsapp/install/admap.htm#1044616 に記載されています。これは、ホットフィックス ファイルに付随する Readme.txt ファイルに含まれています。

この手順の詳細については、マニュアルを参照するか、Technical Assistance Center までご連絡ください。

Cisco CallManager、Cisco Customer Response Server/Cisco IP Contact Center Express、Cisco Personal Assistant、Cisco Conference Connection、Cisco Emergency Responder

オペレーティング システムのバージョンが Win2000 2.4 の場合は、次のいずれかをダウンロードしてインストールしてください。

  • 最新のサービス パック: win-OS-Upgrade-k9.2000-2-4sr5.exe

  • この問題に対するホットフィックス: win-K9-MS03-026.exe

いずれも http://www.cisco.com/pcgi-bin/tablebuild.pl/cmva-3des から入手できます。

Cisco Building Broadband Service Manager

BBSM 5.1、5.2、および HotSpot 1.0 にパッチを適用するためのソフトウェアが、シスコの Web サイトにあります。

BBSM にサービス パッチをインストールする方法については、次のサイトを参照してください。 http://www.cisco.com/univercd/cc/td/doc/product/aggr/bbsm/bbsm52/user/use52_05.htm#50416登録ユーザのみ

その他の Windows ベースのシスコ製品

次に示す Microsoft のサイトから直接セキュリティ パッチをダウンロードして、インストールの指示に従ってください。 http://www.microsoft.com/technet/security/bulletin/MS03-026.asp leavingcisco.com

http://www.microsoft.com/technet/security/bulletin/MS03-007.asp leavingcisco.com

修正済みソフトウェアを入手する

シスコが製品にオペレーティング システムを組み込んで提供している場合は、該当するお客様すべてに対して、これらの脆弱性に対処するためのソフトウェアのパッチをシスコが無料で提供しています。 お客様がインストールしたり、サポートを受けたりできるのは、ご購入いただいた機能セットに対してのみです。

サービス契約をご利用いただいている場合、通常のアップデート窓口に連絡して、ご購入いただいた機能セットを含むソフトウェア パッチを入手してください。 サービス契約をご利用いただいている場合は、通常、http://www.cisco.com/tacpage/sw-center/ にあるシスコのワールドワイド ウェブの Software Center からパッチを入手してください。

シスコ パートナー、正規販売代理店、サービス プロバイダーなど、サードパーティのサポート会社と以前に契約していたか、または現在契約しており、その会社からシスコ製品の提供または保守を受けているお客様は、該当するサポート会社に連絡して、無料のソフトウェア パッチを入手してください。

シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティ ベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、以下の連絡先リストにあるシスコの Technical Assistance Center(TAC)に連絡して修正済みソフトウェアを入手してください。 この場合、同じリリースの新しいバージョンに対するパッチ、またはソフトウェアのバージョンおよび修正の表(前述)の該当する行に示されているパッチを入手できます。 Cisco TAC の連絡先は以下のとおりです。

  • +1 800 553 2447(北米内からのフリー ダイヤル)

  • +1 408 526 7209(北米以外からの有料通話)

  • 電子メール: tac@cisco.com

さまざまな言語向けの各地の電話番号、説明、電子メール アドレスなどの、この他の TAC の連絡先情報については、http://www.cisco.com/cisco/web/support/JP/cisco_worldwide_contacts.html を参照してください。

注:弊社とのサポート契約がないお客様は、製品をご購入いただきました販売店経由でお問い合わせください。

無料アップグレードの対象であることをご証明いただくために、製品のシリアル番号を用意し、この通知の URL をお知らせください。

ソフトウェアのアップグレードについては、「psirt@cisco.com」または「security-alert@cisco.com」には連絡しないでください。

回避策

このセクションでは、ネットワーク上の既存のシスコ製品を使用して、Nachi ワームの症状を軽減する方法を説明します。 これらの手法は、既存のネットワークの機能に影響を与えないと判断できた場合に、ネットワーク エッジでの送受信に適用してください。 この後も、感染しているシステムは感染したままで、ネットワークのそのセクション内では感染を拡大させます。このため、Microsoft の勧告に従って、感染しているシステムすべてにパッチを適用することをお勧めします。

これらの例はそれぞれ、該当するすべてのポートをブロックする方法を示していますが、この必要がない場合もあります。 Nachi ワームは、まず ICMP タイプ 8 のメッセージを送信して、特定のホストに到達可能であることをチェックします。 ICMP タイプ 8 のパケットがフィルタされている場合、このワームはホストを感染させようとしません。 ネットワーク内に感染したホストがない場合、ネットワーク エッジで ICMP タイプ 8 および TCP ポート 135 のパケットをブロックするだけで十分な場合もあります。これにより、既存のサービスを妨げることなく、ネットワークの外部からの感染を防止できます。 ネットワークの通常のトラフィック フローを NetFlow を使用して識別すれば、これらの軽減方法を適用する際にその影響を最小限に抑えることができます。

分散サービス拒絶攻撃からの保護方法に関する一般情報については、http://www.cisco.com/japanese/warp/public/3/jp/service/tac/707/newsflash-j.html を参照してください。

caution 注意: すべての設定変更と同様に、この変更の影響を十分に検討してから変更を適用してください。

Cisco Express Forwarding(CEF)を有効にする

Nachi ワームの影響を軽減するために、CEF を有効にすることを強くお勧めします。 CEF が有効になっていない場合、高速スイッチング エントリを作成するために、各宛先に対する最初のパケットがプロセス交換されます。 このことは、ランダムな宛先に対して多くのパケットがスイッチングされている間、ルータのパフォーマンスに悪影響を及ぼす可能性があります。

CEF を有効にすると、Nachi ワームが原因で発生する CPU 負荷を低減させたりメモリ割り当ての失敗を回避したりできる可能性があります。

IOS のポリシー ベース ルーティング

Nachi ワームは、RPC の脆弱性の不正利用を試みる前に、ICMP タイプ 8(エコー要求)パケットを送信してノードが使用可能であることを検出します。 ICMP パケットのサイズは IP ヘッダーも含めて 92 バイトです。

92 バイトの長さの ICMP タイプ 8 およびタイプ 0 のパケットの検出および廃棄には、次の Policy Based Routing(PBR; ポリシーベース ルーティング)の設定を使用できます。Cisco IOS、Windows 2000、Linux、Solaris などのオペレーティング システムの ping ユーティリティから生成される ICMP タイプ 8 パケットの長さは、92 バイトではありません。 この設定では、これらのオペレーティング システムの ping ユーティリティによって生成されたパケットは、フィルタされません。

caution 注意: この設定を Catalyst 6500 シリーズや Cisco 12000 GSR などのハードウェア スイッチング プラットフォームに適用すると、すべてのパケットがプロセス交換される場合があります。この場合、そのプラットフォームでは、PBR がサポートされていない可能性があります。 この設定は、これらのデバイスのパフォーマンスに大きな影響を及ぼす場合があるので、ハードウェア スイッチング プラットフォーム上では使用しないことをお勧めします。

caution 注意: ポリシーベース ルーティングを有効にすると、スループットのパフォーマンスに影響する場合があります。 パフォーマンスを向上させるために、Cisco Express Forwarding(CEF)を有効にすることをお勧めします。 ルータの CEF が有効になっていない場合は、インターフェイス上で「IP route-cache policy」コマンドを実行することをお勧めします。 これにより、ポリシーベース ルーティングのパフォーマンスが向上します。

warning 警告: Microsoft Windows の tracert ユーティリティは、92 バイトの ICMP パケットを使用しています。 PBR を使用してこれらのパケットをフィルタすると、tracert ユーティリティが機能しなくなります。

warning 警告: 12.0(22)S、12.1(2)T または 12.1(2) より前の IOS コードを使用している場合は、次の DDTS:CSCdp83614登録ユーザのみ)を参照してください。これらのレベルより下のコードでは、長さの一致の値に 92 ではなく 106(IP ヘッダー用の 92 バイト + MAC フレーム サイズ用の 14 バイト)を使用する必要があります。

access-list 199 permit icmp any any echo

       access-list 199 permit icmp any any echo-reply

       route-map nachi-worm permit 10

         ! --- ICMP エコーの要求と応答(タイプ 0 と 8)に一致

         match ip address 199

         ! --- 92 バイトのサイズのパケットに一致

         match length 92 92

         ! --- パケットを廃棄

         set interface Null0

       interface <incoming-interface>

         ! --- unreachables を無効にすることを推奨

         no ip unreachables

         ! --- CEF を使用しない場合、ip route-cache flow を有効にすることを推奨

         ip route-cache policy

         ! --- ポリシーベース ルーティングをインターフェイスに適用

         ip policy route-map nachi-worm

    

この設定は、このデバイス上のすべての入側インターフェイスに適用する必要があります。 内部に感染したホストがない場合、ネットワーク エッジに適用するだけで十分な場合もあります。

注: この設定を有効にすることにより、長さが 92 バイトの正当な ICMP タイプ 8(エコー要求)パケットも廃棄される可能性があります。

このワームは任意の IP アドレスにパケットを送信しようとするので、その IP アドレスが存在しない場合もあります。 この場合、ルータは「 ICMP unreachable 」パケットを応答します。 不正な IP アドレスに対する大量の要求に応答するため、ルータのパフォーマンスが低下する場合があります。 これを防ぐには、次のコマンドを使用します。

Router(config)# interface <interface>

        Router(if-config)# no ip unreachables

    

caution 注意: 特定のトンネル構造など、一般的なネットワーク設定に ip unreachables を使用する必要があります。 「ICMP unreachable 」パケットをルータが送信可能にしておく必要がある場合、次のコマンドを使用して時間当たりの応答回数を制限できます。

    Router(config)# ip icmp rate-limit unreachable <millisecond>

    

Cisco IOS ソフトウェア リリース 12.0 以降では、デフォルトの制限は、1 秒当たり 2 パケット(500 ミリ秒)です。一般に使用される値は 2000 ミリ秒です。

モジュラ QoS コマンドライン インターフェイス

warning 警告: この機能は、CSCdw66131登録ユーザのみ)によって 12.2(13)T1 に統合されているので、それ以前のバージョンの IOS では使用できません。

warning 警告: Microsoft Windows の tracert ユーティリティは、92 バイトの ICMP パケットを使用しています。 MQC を使用してこれらのパケットをフィルタすると、tracert ユーティリティが機能しなくなります。

Nachi ワームは、RPC の脆弱性の不正利用を試みる前に、ICMP タイプ 8(エコー要求)パケットを送信してノードが使用可能であることを検出します。 ICMP パケットのサイズは IP ヘッダーも含めて 92 バイトです。

92 バイトの長さの ICMP タイプ 8 およびタイプ 0 のパケットの検出および廃棄には、次の Modular Quality of Service Command Line Interface(MQC; モジュラ QoS コマンドライン インターフェイス)の設定を使用できます。Cisco IOS、Windows 2000、Linux、Solaris などのオペレーティング システムの ping ユーティリティから生成される ICMP タイプ 8 パケットの長さは、92 バイトではありません。 この設定では、これらのオペレーティング システムの ping ユーティリティによって生成されたパケットは、フィルタされません。

access-list 199 permit icmp any any echo

    access-list 199 permit icmp any any echo-reply

    class-map match-all nachi

      match access-group 199

      match packet length min 92 max 92

    policy-map drop-nachi

      class nachi

      drop

    interface <interface>

      service-policy input drop-nachi

      service-policy output drop-nachi

IOS 用 ACL

以下に特に明記されていない限り、この回避策はほとんどのルータ プラットフォームに適用できます。

注: 送信元アドレスを追跡する場合、ACL の log 文ではなく Sampled NetFlow を使用してください。「log」文を高トラフィック時に使用すると、ルータが処理しきれなくなる可能性があります。

ICMP パケットが前述のポリシーベース ルーティングによってフィルタされない場合、アクセス リストを使用して ICMP をブロックすることが適切な場合があります。 ただし、ICMP パケットをフィルタリングすると、広く使用されている ping ユーティリティおよび同様の診断ツールが機能しなくなることに注意してください。


        ! --- ICMP をブロック

        ! ---

        ! --- すでに PBR を使用してフィルタしている場合、ICMP パケットを

        ! --- 拒否する必要はない

        ! ---

        ! --- アクセス リストを使用して ICMP パケットをブロックすると、

        ! --- ping ユーティリティおよび同様の診断ツールが機能しなくなる

        access-list 115 deny icmp any any echo

        access-list 115 deny icmp any any echo-reply

        ! --- 脆弱性のあるプロトコルをブロック

        ! --- Nachi に関連のあるもの

        access-list 115 deny tcp any any eq 135

        access-list 115 deny udp any any eq 135

        ! --- TFTP をブロック

        access-list 115 deny udp any any eq 69

        ! --- 脆弱性のあるその他の MS プロトコルをブロック

        access-list 115 deny udp any any eq 137

        access-list 115 deny udp any any eq 138

        access-list 115 deny tcp any any eq 139

        access-list 115 deny udp any any eq 139

        access-list 115 deny tcp any any eq 445

        access-list 115 deny tcp any any eq 593

        ! --- その他のトラフィックはすべて許可 -- その他の

        ! --- 既存のアクセス リスト エントリをここに挿入

        access-list 115 permit ip any any

        interface <interface>

        ip access-group 115 in

        ip access-group 115 out

    

このワームは任意の IP アドレスにパケットを送信しようとするので、その IP アドレスが存在しない場合もあります。 この場合、ルータは「 ICMP unreachable 」パケットを応答します。 不正な IP アドレスに対する大量の要求に応答するため、ルータのパフォーマンスが低下する場合があります。 これを防ぐには、次のコマンドを使用します。

Router(config)# interface <interface>

        Router(if-config)# no ip unreachables

    

caution 注意: 特定のトンネル構造など、一般的なネットワーク設定に ip unreachables を使用する必要があります。 「ICMP unreachable 」パケットをルータが送信可能にしておく必要がある場合、次のコマンドを使用して時間当たりの応答回数を制限できます。

    Router(config)# ip icmp rate-limit unreachable <millisecond>

    

Cisco IOS ソフトウェア リリース 12.0 以降では、デフォルトの制限は、1 秒当たり 2 パケット(500 ミリ秒)です。一般に使用される値は 2000 ミリ秒です。

Cisco 12000

受信 ACL 機能:Cisco 12000(GSR)シリーズ ルータでは、ルータ自体の IP アドレスを宛先とするパケットは、Gigabit Route Processor(GRP; ギガビット ルート プロセッサ)に処理が任されます。 GRP を保護するために、受信 ACL(rACL)を適用できます。rACL では、GRP 宛てのトラフィックをフィルタして、明示的に許可されたトラフィックだけを GRP で処理し、拒否されたトラフィックを廃棄します。 一般に、rACL は通過トラフィック(ルータを通過するトラフィック)には影響せず、ルータ自体を宛先とするトラフィックのみに影響します。

rACL は、GRP 宛ての過度の攻撃トラフィックの影響を軽減するのに非常に効果的な対抗手段です。 詳細については、 「GSR:受信アクセス コントロール リスト」を参照してください。

6500 上の VACL

シスコでは、Sup3 を搭載した Cisco Catalyst 4000 およびハイブリッドまたはネイティブ構成の Cisco Catalyst 6500 で IOS ACL を使用することをお勧めします。ただし、参考として、VACL の設定例を示します。 さらに、「no ip unreachables」を使用することもお勧めします。

caution 注意: すべての設定変更と同様に、VACL を IOS ACL と併用する場合は注意してください。 VACL は方向にかかわらず、VLAN 内のすべてのトラフィックに適用されることに注意してください。

設定するには次の操作をします。


        ! --- ICMP をブロック

        set security acl ip NACHI deny icmp any any echo

        set security acl ip NACHI deny icmp any any echo-reply

        ! --- 脆弱性のあるプロトコルをブロック

        ! --- Nachi に関連のあるもの

        set security acl ip NACHI deny tcp any any eq 135

        set security acl ip NACHI deny udp any any eq 135

        set security acl ip NACHI deny udp any any eq 69

        ! --- ワームの制御チャネルをブロック

        set security acl ip NACHI deny tcp any any eq 4444

        set security acl ip NACHI deny tcp any any eq 707

        ! --- Nachi に関連のないもの

        set security acl ip NACHI deny tcp any any eq 137

        set security acl ip NACHI deny udp any any eq 137

        set security acl ip NACHI deny tcp any any eq 138

        set security acl ip NACHI deny udp any any eq 138

        set security acl ip NACHI deny tcp any any eq 139

        set security acl ip NACHI deny udp any any eq 139

        set security acl ip NACHI deny tcp any any eq 445

        set security acl ip NACHI deny tcp any any eq 593

        ! --- その他のトラフィックはすべて許可

        ! --- その他の既存のアクセス リスト エントリをここに挿入

        set security acl ip NACHI permit any any

        ! -- 受信側と送信側の両方に適用

        commit security acl NACHI

        set security acl map NACHI <vlans>

    

確認するには次の操作をします。


    show security acl info all

    

削除するには次の操作をします。


    clear security acl NACHI

        commit security acl NACHI

    

Catalyst 3550

VLAN に対するレイヤ 3 インターフェイスである Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)、物理レイヤ 3 インターフェイス、およびレイヤ 3 イーサネット インターフェイスの送受信両方、あるいは一方に IOS ACL を適用します。 インターフェイスに「no ip unreachable」が設定されていることを確認してください。

IOS ACL がレイヤ 3 インターフェイスの入力側にも適用されていない場合にのみ、IOS ACL をスイッチのレイヤ 2 インターフェイスに適用します(このとき、エラーメッセージが発行されます)。 レイヤ 2 インターフェイスについては、IOS ACL がサポートされるのは物理インターフェイスのみで、EtherChannel インターフェイスではサポートされません。 また、適用できるのは受信方向のみです。

Catalyst 2950

IOS ACL をインターフェイスに適用します。 ACL がサポートされるのは受信方向のみであることに注意してください。 ACL を物理インターフェイスに適用するには、拡張ソフトウェア イメージ(EI)をインストールする必要があります。

Catalyst 2900XL および 3500XL

これらのレイヤ 2 スイッチでは、レイヤ 3 アクセス リストがサポートされません。

PIX

caution 注意: トランスレーション プールの IP アドレス数が限られた NAT を使用している場合、グローバル アドレスでトラフィックを受信し続けていると、タイムアウトにならないことがあります。 このトラフィックがアクセス リストによってブロックされていても、タイムアウトにならない可能性があります。 詳細については、Cisco Bug ID CSCec47609登録ユーザのみ)を参照してください。

一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

PIX のデフォルトの動作では、該当するポートおよびプロトコルに対してアクセス リストまたはコンジットによる明示的な許可がない場合は、下位のセキュリティ レベル インターフェイス(OUTSIDE)から上位のセキュリティ レベル インターフェイス(INSIDE)へのトラフィックをブロックします。

さらに、シスコでは、上位のセキュリティ レベル インターフェイス(INSIDE)から下位のセキュリティ レベル インターフェイス(OUTSIDE)へのトラフィックをブロックすることも推奨しています。

次のポートに対する発信要求を拒否する必要があります。


        access-list acl_inside deny icmp any any echo

        access-list acl_inside deny icmp any any echo-reply

        access-list acl_inside deny tcp any any eq 135

        access-list acl_inside deny udp any any eq 135

        access-list acl_inside deny udp any any eq 69

        access-list acl_inside deny tcp any any eq 137

        access-list acl_inside deny udp any any eq 137

        access-list acl_inside deny tcp any any eq 138

        access-list acl_inside deny udp any any eq 138

        access-list acl_inside deny tcp any any eq 139

        access-list acl_inside deny udp any any eq 139

        access-list acl_inside deny tcp any any eq 445

        access-list acl_inside deny tcp any any eq 593

        ! --- 以前に設定した ACL 文をここに挿入、あるいは、

        ! --- その他の送信トラフィックをすべて許可

        access-list acl_inside permit ip any any

        access-group acl_inside in interface inside

    

対応する発信リストを適用することもできますが、発信リストの代わりに ACL を使用することを強くお勧めします。

Cisco Security Agent(CSA)

CSA のデスクトップ ポリシーおよびデフォルト サーバ ポリシーを適切に使用すると、この脆弱性またはワームの影響を軽減できます。

不正利用および公表

この問題の不正利用は頻繁に行われており、多くの発表やメッセージが公表されています。 次のような参考資料があります。

この通知のステータス: 暫定版

この通知は暫定通知です。 シスコは、この通知のすべての内容が正確であることを保証しませんが、可能な限りすべての事実を確認しています。 シスコは、これらの事実に重大な変更があれば、この通知のアップデート バージョンを発行する予定です。

配信

この通知はシスコのワールドワイド ウェブサイトの http://www.cisco.com/cisco/web/support/JP/100/1006/1006459_cisco-sn-20030820-nachi-j.html に公開されます。 ワールドワイド ウェブへの掲載に加えて、この通知のテキスト バージョンが、シスコの PSIRT PGP キーによるクリア署名付きで、以下の電子メールおよび Usenet ニュースの受信者に公開されます。

  • cust-security-announce@cisco.com

将来、この通知がアップデートされた場合、シスコのワールドワイド ウェブに掲載されます。 この問題に関心のある方は、上記の URL でアップデートを確認することをお勧めします。

改訂履歴

リビジョン 1.0

2003 年 8 月 20 日

初期公開

リビジョン 1.1

2003 年 8 月 21 日

IDS シグニチャのダウンロード場所を訂正、WebDav の脆弱性検出用の追加カスタム シグニチャを追加、2 種類の回避策(CSA と MQC)を追加、PBR による回避策の ICMP メッセージ タイプを訂正、CAT OS コマンドのコマンドを訂正。

リビジョン 1.2

2003 年 8 月 30 日

IOS の NetFlow 検出を使用するための注記を追加、「Sup2 を搭載した CatOS および MLS を使用して感染したホストを検出する」セクションを「Catalyst 6500 上の CatOS および IOS と MLS を使用して、感染したホストを検出する」セクションに置き換え、「症状」セクションのネットワーク症状を全体的に訂正、回避策に「Cisco Express Forwarding(CEF)を有効にする」セクションを追加、「IOS のポリシー ベース ルーティング」セクションと「モジュラ QoS コマンドライン インターフェイス」セクションの両方に警告を追加。

リビジョン 1.3

2003 年 9 月 13 日

「IOS のポリシー ベース ルーティング」セクションに警告を追加。

リビジョン 1.4

2003 年 10 月 3 日

PIX の回避策に注意を追加。

リビジョン 1.5

2003 年 10 月 14 日

該当製品およびソフトウェアのバージョンおよび修正の各セクションに Cisco Secure ACS Solution Engine を追加。

シスコのセキュリティ手順

有益な新情報をお持ちの場合、psirt@cisco.com まで電子メールでご連絡ください。

シスコ製品のセキュリティの脆弱性に関するレポート、セキュリティ障害に対する支援、およびシスコからのセキュリティ情報を受信するための登録に関するすべての情報は、シスコのワールドワイド ウェブサイト http://www.cisco.com/japanese/warp/public/3/jp/service/tac/707/sec_incident_response-j.html から入手できます。 この情報には、シスコのセキュリティ通知に関して、報道機関が問い合せる場合の説明も含まれています。 すべての Cisco セキュリティ アドバイザリは、http://www.cisco.com/go/psirt から入手できます。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 44665