Cisco Security Advisory: Multiple Vulnerabilities Found by PROTOS IPSec Test

2005 年 12 月 6 日 - ライター翻訳版
その他のバージョン: PDFpdf | 英語版 (2005 年 12 月 6 日) | フィードバック

Revision 1.6


最終更新日 2005 年 12 月 6 日 16:00 UTC (GMT)

公開日 2005 年 11 月 14 日 11:00 UTC (GMT)


目次

要約
該当製品
詳細
影響
ソフトウェアバージョンおよび修正
回避策
修正ソフトウェアの入手
不正利用事例と公表
この通知のステータス: FINAL
情報配信
更新履歴
シスコセキュリティ手順


要約 

複数のシスコ製品において、IPSec IKE (Internet Key Exchange) メッセージの処理に関する脆弱性が存在します。
本脆弱性は University of Oulu Secure Programming Group(OUSPG) により発見され、IPSec 用の "PROTOS" テストツールを使用して繰り返しサービス妨害 (DoS: Denial of Service) 攻撃を行えることが判明しました。

シスコは本脆弱性の影響を受けるお客様のために、本脆弱性対処用の無償のソフトウェアを提供しています。
ソフトウェアの導入を行う前に、機能のソフトウェアの互換性およびお客様のネットワーク環境に特有の問題に関して確認いただくか、あるいはお客様のメンテナンスプロバイダーにご相談ください。

本アドバイザリーは以下にて確認できます。
http://www.cisco.com/warp/public/707/cisco-sa-20051114-ipsec.shtml

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。


該当製品

脆弱性が存在する製品


IKE の設定を行い、該当するソフトウェアが稼動しているシスコ製品は本脆弱性の影響を受けます。
本脆弱性は特別なハードウェア構成に依存したものではありません。
例えば VPNSM や VPNSA を利用していなければ、本アドバイザリーの影響を受けないと言うことではありません。

  • シスコ IOS
    12.2SXD, 12.3(4)T 以降, 12.4 および 12.4T を基にしたバージョン
  • シスコ PIX Firewall
    6.3(5) より前のバージョン
  • シスコ PIX Firewall/ASA
    7.0.1.4 より前のバージョン
  • シスコ Firewall Services Module (FWSM)
    2.3(3) より前のバージョン
  • シスコ VPN 3000 Series Concentrators
    4.1(7)H より前のバージョンおよび 4.7(2)B より前のバージョン
  • シスコ MDS Series SanOS
    SanOS 2.1(2) より前のバージョン

シスコ製品で稼動中のソフトウェアを確認するには、機器にログインし show version コマンドを実行し、システムバナーを画面に表示します。
シスコ IOS ソフトウェアは "Internetwork Operating System Software" もしくは単に "IOS" と表示します。
そのすぐ後ろにイメージ名が括弧の間に 表示され(場合により改行されています)、続いて "Version" と IOS リリース名が表示されます。
(IOS 以外の)他のシスコ製品は "show version" コマンドがない場合や、異なる表示をする場合があります。

以下の例は シスコ 7200ルーターで IOS リリース 12.3(10a)、イメージ名 C7200-JO3S-M が稼動していることを示しています:

Router# show version
Cisco Internetwork Operating System Software
IOS (tm) 7200 Software (C7200-JO3S-M), Version 12.3(10a), RELEASE SOFTWARE (fc2)
Copyright (c) 1986-2004 by cisco Systems, Inc.

シスコ IOS の命名に関する更なる情報は以下の URL を参照してください。
http://www.cisco.com/en/US/products/sw/iosswrel/ps1828/index.html


シスコ IOS フィーチャー セット名において機能表示部分に 'K8' または 'K9' が存在すれば、 IOSイメージが crypto をサポートすることを表しています。

例えば、上記の C7200-JO3S-M の例は 'K8' を含みません。これはイメージが crypto をサポートしていないことを示しており、このセキュリティ アドバイザリで説明する脆弱性には該当しません。

以下の例は IOS で crypto をサポートしている機器から採取した出力です:

Cisco Internetwork Operating System Software
IOS (tm) c6sup2_rp Software (c6sup2_rp-PK9S-M), Version 12.2(18)SXD5, RELEASE SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2005 by cisco Systems, Inc.
Compiled Fri 13-May-05 21:12 by ssearch

機能表示部分 (PK9S) に 'K9' を含むため、迅速にこのフィーチャーセットが crypto をサポートしていると判断できます。

脆弱性が存在しない製品


これ以外のIOSトレインにおいて影響を受けるものは確認されていません。
シスコ IOS XR は本アドバイザリーの影響を受けません。
これ以外のシスコ製品において本アドバイザリーの影響を受けるものは現在確認されていません。


詳細


IP Security (IPSec) は IETF によって標準化された IP パケットの暗号化・認証された伝送をサポートするためのプロトコルセットです。IPSec は通常 バーチャル プライベート・ネットワーク (VPN) において使用されます。

Internet Key Exchange (IKE) プロトコルは IPSec セキュリティ アソシエーション (SA) の鍵素材ネゴシエーションとピア認証を行うために用いられます。

IPSec に関するより詳細な情報は IETF Request For Comments (RFCs) 2401 をご参照下さい。

http://www.ietf.org/rfc/rfc2401.txt


IKE に関するより詳細な情報は IETF Request For Comments (RFCs) 2408 及び 2409 をご参照下さい。

http://www.ietf.org/rfc/rfc2408.txt


http://www.ietf.org/rfc/rfc2409.txt


IPSec には 2 つの一般的な使用形態があります。

ひとつ目は 2 つの離れた LAN を IPSec トンネル経由で接続するために 2 台の機器が IPSec ネゴシエーションを行う LAN-to-LAN VPN接続です。この場合、IPSec 接続をネゴシエートする機器は一般に静的 IP アドレスを持ち、IPSec トンネルはトンネルを経由するトラフィックがある限り維持されます。

ふたつ目はリモート クライアントにセキュアなネットワーク サービスを提供するためのリモート アクセス (RA) VPN です。ユーザーがオフィス外からコーポレート ネットワークに接続する形態などがこれにあたります。この場合、リモート ユーザーはどこからでも接続可能で IP アドレスは静的ではなくプロバイダに割り当てられた動的アドレスを使用します。

IKE は IPSecコネクションの確立にとって必須条件ではありません。ネットワーク要件と使用する機器によっては、静的に SA 情報を定義し IKE を停止することも出来ます。RA VPN では IPSec 接続確立前にはユーザーの IP アドレスが不明であるため、このような定義は不可能であるかも知れません。静的な SA 定義については回避策をご参照下さい。

IPSec 用 PROTOS テストツールは IPSec 実装の設計上の制約をテストするために、不正な IKE メッセージを対象機器に送信するよう設計されています。

特定の不正なパケットを受信した場合、脆弱なシスコ製品は再起動させられ、一時的なサービス妨害攻撃 (DoS) の原因となります。

この脆弱性は OUSPG の IKE 用 PROTOS テストツールを用いることで確認され、容易に繰り返すことが可能です。このツールは IKE 実装のメッセージ処理の設計上の制約をテストするように設計されています。

シスコ IOS についての追加詳細


本アドバイザリーにて説明する脆弱性は IOS 12.3(4)T から発生し、12.3T, 12.4, 12.4T, 12.2SXD に存在します。

12.3(8)T 以前の IOS バージョンでは、IOS 機器が IKE メッセージを処理するための crypto の設定を明示的にしない場合も IKE はデフォルトで設定されていました。

IOS バージョン 12.2SXD ではデフォルトで  IKE が設定されています。 念のため IKE の処理を停止するためにはグローバル設定コマンド  no crypto isakmp enable を実行します。

IOS バージョン 12.3(8)T 以降 (全ての 12.4 ベースのバージョンを含む) では、IKE メッセージを処理するには crypto の設定が必要になっています。

IOS 機器が IKE パケットを処理するためには、crypto map (または tunnel protection) がインターフェースに適用されていなくてはなりません。

シスコ PIX についての追加詳細


シスコ PIX では全てのバージョンで IKE 処理はデフォルトで停止されています。

バージョン 7.0 以前のシスコ PIX では、以下のコマンドにより IKE メッセージ処理が有効になっていることを確認できます。

show isakmp enable

次の例は IKE が outside インターフェースで有効である場合の show コマンドの出力例です。

pixfirewall(config)# show isakmp enable
isakmp enable outside

次の例は IKE が全てのインターフェースで無効である場合の show コマンドの出力例です。

pixfirewall(config)# show isakmp
pixfirewall(config)#

シスコ PIX/ASA versions 7.0 以降では、IKE は以下のコマンドがある場合のみ有効です。

isakmp enable

シスコ Bug ID

以下が各製品に対応するシスコ Bug IDs(登録ユーザのみ参照可) になります:


  • シスコ IOS
    12.2SXD, 12.3(4)T 以降, 12.4 および 12.4T を基にしたバージョン -CSCed94829
  • シスコ PIX Firewall
    6.3(5) より前のバージョン - CSCei14171
  • シスコ PIX Firewall/ASA
    7.0.1.4 より前のバージョン - CSCei15053
  • シスコ Firewall Services Module (FWSM)
    2.3(3) より前のバージョン - CSCei19275
  • シスコ VPN 3000 Series Concentrators
    4.1(7)H より前のバージョンおよび 4.7(2)B より前のバージョン - CSCsb15296
  • シスコ MDS Series SanOS
    SanOS 2.1(2) より前のバージョン - CSCei46258

影響

脆弱性の利用に成功した場合、シスコ MDS シリーズでは IKE プロセスの再起動が発生します。シスコ MDS 機器のそれ以外の機能は影響なく通常の動作をします。

それ以外のシスコ機器では、脆弱性の利用に成功した場合、機器の再起動が発生します。機器は操作要求なしに通常動作に復帰します。

ソフトウェアバージョンおよび修正


ソフトウェアのアップグレードを検討する際には、http://www.cisco.com/go/psirt およびそれ以降のアドバイザリも参照して、状況と完全なアップグレード ソリューションを判断してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。 情報が不明確な場合は、シスコ Technical Assistance Center(TAC) もしくは契約している保守会社にお問い合せください。

IOS 以外の製品

Affected Product

Vulnerable Version

Fixed Version

Cisco PIX running pre-7.0 code

Up to, but not including, 6.3(5)

6.3(5) or later

Cisco PIX/ASA running 7.0 or later code

Up to, but not including, 7.0.1.4

7.0.1.4 or later

Cisco FWSM for Catalyst 6500 or 7600

Up to, but not including, 2.3(3)

2.3(3) or later

Cisco VPN3000 Concentrators running pre 4.7 code

Up to, but not including, 4.1(7)H

4.1(7)H or later

Cisco VPN3000 Concentrators running 4.7 code

Up to, but not including, 4.7(2)B

4.7(2)B or later

Cisco MDS devices

Up to, but not including, 2.1(2)

2.1(2) or later

シスコ IOS

以下の シスコ IOS ソフトウェアの表の各行は、対象となるリリーストレイン、プラットフォームおよび 製品群を示します。あるリリーストレインが脆弱である場合、修正が組み込まれている最も早いリリース (最初に修正されたリリース)とそれが利用可能となる予定日が "Rebuild" and "Maintenance" の列に 示されます。リリーストレインで示されたリリースより前のものを使用している機器は脆弱であることが知られています。 使用するリリースは少なくとも示されたリリース以降へアップグレードすることが推奨されます。

"Rebuild" および "Maintenance" の用語に関する情報は以下をご参照ください。
http://www.cisco.com/warp/public/620/1.html

本アドバイザリーにて説明する脆弱性は IOS 12.3(4)T から発生し、12.3T, 12.4, 12.4T, 12.2SXD に存在します。

Major Release

Availability of Repaired Releases

Affected 12.2-Based Release

Rebuild

Maintenance

12.2SXD

12.2(18)SXD7; available 13-Dec-05

 
  

Affected 12.3-Based Release

Rebuild

Maintenance

12.3T

12.3(4)T12: Vulnerable; migrate to 12.4(5) or later

 

12.3(7)T13: Vulnerable; contact TAC

12.3(8)T12: Vulnerable; contact TAC

 

12.3(11)T9; available 12-Dec-05

 

12.3(14)T5

 

12.3TPC

Vulnerable; contact TAC

 

12.3XD

Vulnerable; migrate to 12.3(14)T5 or later

 

12.3XE

Vulnerable. For C820v and SOHO78, migrate to 12.4(5) or later. For all other platforms, contact TAC.

 

12.3XF

Vulnerable; migrate to 12.3(14)T5 or later

 

12.3XG

Vulnerable. For C828, C820v, and SOHO78, migrate to 12.4(5) or later. For all other platforms, contact TAC.

 

12.3XH

Vulnerable; contact TAC

 

12.3XI

Vulnerable; contact TAC

 

12.3XJ

Vulnerable: migrate to 12.3(14)YX; available 22-Dec-05

 

12.3XK

Vulnerable; contact TAC

 

12.3XM

Vulnerable; migrate to 12.3(14)T5 or later

 

12.3XQ

Vulnerable; migrate to 12.4(5) or later

 

12.3XR

Vulnerable. For C820v, C828, and SOHO78, migrate to 12.4(5) or later. For all other platforms, contact TAC.

 

12.3XS

Vulnerable; migrate to 12.4(5) or later

 

12.3XU

Vulnerable; migrate to 12.4(4)T or later

 

12.3XW

Vulnerable: migrate to 12.3(14)YX; available 22-Dec-05

 

12.3XX

Vulnerable; migrate to 12.4(5) or later

 

12.3YA

Vulnerable. For C828, migrate to 12.4(5) or later. For all other platforms, contact TAC.

 

12.3YD

Vulnerable; migrate to 12.4(4)T or later

 

12.3YF

Vulnerable: migrate to 12.3(14)YX; available 22-Dec-05

 

12.3YG

Vulnerable; contact TAC

 

12.3YH

Vulnerable; contact TAC

 

12.3YI

Vulnerable; contact TAC

 

12.3YJ

Vulnerable; migrates to 12.3(14)YQ4, available 1-Dec-05

 

12.3YK

Vulnerable; migrate to 12.4(4)T

 

12.3YM

12.3(14)YM4

 

12.3YQ

12.3(14)YQ4; available 01-Dec-05

 

12.3YS

Vulnerable; contact TAC

 

12.3YT

Vulnerable; migrate to 12.4(4)T

 

12.3YU

Vulnerable; contact TAC

 

12.3YX

Vulnerable; contact TAC

 

Affected 12.4-Based Release

Rebuild

Maintenance

12.4

12.4(1c); available 14-Nov-05

 

12.4(3b); available 12-Dec-05

 
 

12.4(5)

12.4T

12.4(2)T2

 
 

12.4(4)T

12.4XA

Vulnerable; contact TAC

 

12.4XB

 

12.4(2)XB; available TBD



回避策

回避策の効果は、お客様の状況、使用製品、ネットワークトポロジー、トラフィック の性質や組織の目的に依存します。影響製品が多種多様であるため、回避策を実際に 展開する前に、対象とするネットワークで適用する回避策が最適であるか、お客様の サービスプロバイダーやサポート組織にご相談ください。

IPSec は使用しているが接続の確立に IKE は必要ないお客様は、IPSec 接続情報を手動で入れることが可能であり、IKE を停止することにより脆弱性を回避できます。

注意: 多くのお客様には IPSec 設定の複雑さにより、実行可能な案にはなり得ないと思われますが、回避策としては完全なものです。静的な IPSec の設定についての詳細情報については、各製品マニュアルを参照してください。

Restricting IKE Messages


IPSec 機器に IKE パケットを送信できる機器を制限することにより脆弱性の影響を緩和することが可能です。
ソースアドレスを詐称したIKEパケットの可能性もありますので、アクセスコントロールリスト (ACL) および anti-spoofing メカニズムの組み合わせが最も効果的となります。

Anti-spoofing


送信元アドレス詐称に起因する問題を緩和するには Unicast Reverse Path Forwarding (Unicast RPF) 機能が有効です。その機能はシスコルータおよびファイアーウォール製品で使用可能です。
詳細については以下を参照してください。

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fsecur_c/fothersf/scfrpf.htm

Unicast Reverse Path Forwarding (uRPF)を設定にすることにより、全ての詐称パケットが最初の機器で廃棄されます。
uRPF を設定にするためには以下コマンドを使用します。

router(config)# ip cef 
router(config)# interface <interface #>
router(config-if)# ip verify unicast reverse-path

Infrastructure Access Control Lists


ネットワークを通過するトラフィックを遮断することはしばしば困難ですが、自身の基幹機器をターゲットとした許可すべきではないトラフィックを特定し、そのようなトラフィックはネットワークの境界で遮断することは可能です。 Infrastructure ACLは、特定の脆弱性に対する回避策であると同時に、 長期に渡る最善のネットワークセキュリティーと考えることが出来ます。 ホワイトペーパーの "Protecting Your Core: Infrastructure Protection Access Control Lists" は、 アクセスリストによって基幹機器を守るためのガイドラインと、 推奨される導入方法が記載されています。

http://www.cisco.com/warp/public/707/iacl.html


修正ソフトウェアの入手


シスコは本脆弱性の影響を受けるお客様のために、本脆弱性対処用の無償のソフトウェアを提供しています。

ソフトウェアの導入を行う前に、機能のソフトウェアの互換性およびお客様のネットワーク環境に特有の問題に関して確認いただくか、あるいはお客様のメンテナンスプロバイダーにご相談ください。

お客様がインストールしたり、サポートを受けたりできるのは、ご購入いただいたフィーチャーセットに対してのみです。 そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用すると、お客様は http://www.cisco.com/public/sw-license-agreement.html にあるシスコのソフトウェア ライセンスの条項または http://www.cisco.com/public/sw-center/sw-usingswc.shtmlにある Cisco.com のダウンロードに示されるその他の条項に従うことに同意したことになります。

ソフトウェアのアップグレードに関し、"psirt@cisco.com" もしくは "security-alert@cisco.com" にお問い合わせいただくことはご遠慮ください。


ご契約を有するお客様

ご契約を有するお客様は、通常の経路でそれを 入手してください。ほとんどのお客様は、シスコのワールドワイドウェブサイト上の ソフトウェアセンターから入手することができます。http://www.cisco.com.  

サードパーティのサポート会社をご利用のお客様

シスコ パートナー、正規販売代理店、サービス プロバイダーなど、サードパーティのサポート会社と以前に契約していたか、または現在契約しており、その会社からシスコ製品の提供または保守を受けているお客様は、該当するサポート会社に連絡して、本脆弱性に関する適切な処置について支持と支援を受けてください。

回避策の効果は、お客様の状況、使用製品、ネットワークトポロジー、トラフィックの性質や組織の目的に依存します。影響製品が多種多様であるため、回避策を実際に展開する前に、対象とするネットワークで適用する回避策が最適であるか、お客様のサービスプロバイダーやサポート組織にご相談ください。

サービス契約をご利用でないお客様

シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティ ベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、シスコの Technical Assistance Center(TAC)に連絡してアップグレードを入手してください。 TAC の連絡先は次のとおりです。

  • +1 800 553 2447(北米内からのフリー ダイヤル)
     
  • +1 408 526 7209(北米以外からの有料通話)
     
  • 電子メール:tac@cisco.com
     

無料アップグレードの対象であることをご証明いただくために、製品のシリアル番号を用意し、このお知らせの URL を知らせてください。 サポート契約をご利用でないお客様に対する無料アップグレードは、TAC 経由でご要求いただく必要があります。

さまざまな言語向けの各地の電話番号、説明、電子メール アドレスなどの、この他の TAC の連絡先情報については、http://www.cisco.com/cisco/web/support/JP/cisco_worldwide_contacts.html を参照してください。


不正利用事例と公表


前述のこれらの脆弱性を引き起こすために IPSec 用 OUSPG(PROTOS) テストツールを使用することができます。

前述のこれらの脆弱性は CERT-FI と NISCC の協力によって発見されました。これらの組織からの公開情報は以下をご参照ください。
http://www.cpni.gov.uk/


この通知のステータス:  FINAL

本アドバイザリーは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。 本アドバイザリーの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 またシスコシステムズは本ドキュメントの変更や更新を実施する権利を有します。


後述する情報配信の URL を省略し、本アドバイザリーの記述内容に関して、独自の複製・ 意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝 搬が行われる可能性があります。

情報配信

本アドバイザリーは、以下のシスコのワールドワイドウェブサイト上に掲載されます。 http://www.cisco.com/warp/public/707/cisco-sa-20051114-ipsec.shtml

ワールドワイドのウェブ以外にも、次の電子メールおよび Usenet ニュースの受信者向けに、この通知のテキスト版がシスコ PSIRT PGP キーによるクリア署名つきで投稿されています。

  • cust-security-announce@cisco.com
  • first-teams@first.org (includes CERT/CC)
  • bugtraq@securityfocus.com
  • vulnwatch@vulnwatch.org
  • cisco@spot.colorado.edu
  • cisco-nsp@puck.nether.net
  • full-disclosure@lists.grok.org.uk
  • comp.dcom.sys.cisco@newsgate.cisco.com

この通知に関する今後の最新情報は、いかなるものもシスコのワールドワイドウェブに掲載される予定です。しかしながら、前述のメーリングリストもしくはニュースグループに 対し積極的に配信されるとは限りません。この問題に関心があるお客様は上記 URL にて最 新情報をご確認いただくことをお勧めいたします。

更新履歴

Revision 1.6
2005-Dec-6

シスコ IOS についての追加詳細の更新。シスコ IOS の更新。


Revision 1.5

2005-Nov-29

IOS ソフトウェア表の更新


Revision 1.4
2005-Nov-17

IOS ソフトウェア表の更新

Revision 1.3
2005-Nov-15

IOS 以外のソフトウェア表の更新

Revision 1.2
2005-Nov-15

Advisory ID の更新

Revision 1.1
2005-Nov-14

IOS 以外のソフトウェア表の更新。シスコ PIX についての追加詳細でコマンド出力部分の更新。シスコ IOS についての追加詳細の更新。

Revision 1.0 2005-Nov-14 初版


シスコ セキュリティ手順

 

シスコ製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およ びシスコからセキュリティ情報を入手するための登録方法について詳しく知るには、シス コワールドワイドウェブサイトの http://www.cisco.com/en/US/products/products_security_vulnerability_policy.htmlにアクセスしてください。 このページにはシスコのセキュリティ通知に関してメディアが問い合わせる際の指示が掲載されています。全てのシスコセキュリティアドバイザリは http://www.cisco.com/go/psirt で確認することができます。