Cisco Security Advisory: Cisco IOS Malformed BGP packet causes reload

2004 年 6 月 16 日 - ライター翻訳版
その他のバージョン: PDFpdf | 英語版 (2004 年 6 月 16 日) | フィードバック

Revision 1.0

For Public Release 2004 June 16 15:00 UTC (GMT)
Last Updated 2004 June 14 05:15 UTC (GMT)

目次

要約
該当製品
詳細
影響
ソフトウェアバージョンおよび修正
修正ソフトウェアの入手
回避策
不正利用事例と公表
この通知のステータス:Final
情報配信
更新履歴
シスコ セキュリティ手順



要約

シスコ IOS が稼動する製品で Border Gateway Protocol(BGP) の設定がされているものは、特異な BGP パケットによるサービス妨害攻撃(Denial of Service (DOS) attack) に対して脆弱性が存在します。BGP プロトコルはデフォルトでは製品上に設定されていないため、明示的に特定のピアの設定をし、そのトラフィックを受信する必要があります。悪意のあるパケットが、設定された信頼できるピアを送信元としたものに見えない限り、特異なパケットを入れるのは困難です。

本アドバイザリは以下にて確認可能です。

http://www.cisco.com/warp/public/707/cisco-sa-20040616-bgp.shtml

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先いたします。



該当製品

本問題は、修正が施されていない IOSコードを利用し BGP ルーティングの設定がされたすべてのシスコ製品に影響があります。

BGP プロセスが稼動するルータには、設定上に以下のコマンドを実行することにより確認できる、AS 番号が存在します。

"show running-config":
router bgp <AS 番号>
BGP (ピアリング) に組み込まれない製品や BGP の設定が不可能な製品に本脆弱性は存在しないことが確認されています。

本脆弱性は BGP のサポートをしている、修正の施されていないすべての IOS バージョン (9.x, 10.x, 11.x そして 12.x) に存在します。

シスコ製品において稼動しているソフトウェアを確認するには、製品にログインし、"show version" コマンドによりシステムバナーを表示させてください。Cisco IOS ソフトウェアの場合 "Internetwork Operating System Software" もしくは "IOS" と表示されます。次の出力ラインでは、括弧の間にイメージの名前、"Version" および IOS のリリース名が続きます。他のシスコ製品の場合 "show version" コマンドが存在しないか、違う出力結果が表示されます。

以下の例はイメージ名 C2500-IS-L がインストールされ、IOS リリース 12.0(3) が稼動しているシスコ製品を表しています。リリーストレインラベルは "12.0" です。
Cisco Internetwork Operating System Software IOS (TM) 2500 Software (C2500-IS-L), Version 12.0(3), RELEASE SOFTWARE
次の例はイメージ名が C2600-JS-MZ で 12.0(2a)T1 の IOS リリースが稼動している製品です。
Cisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-JS-MZ), Version 12.0(2a)T1, RELEASE SOFTWARE (fc1)
Cisco IOS バーションの名称に関する情報は以下の URL を参照してください。

http://www.cisco.com/warp/public/620/1.html



詳細

Border Gateway Protocol (BGP) は、RFC1771 で規定されたルーティングプロトコルで、大規模ネットワークにおける IP ルーティングの管理のために設計されたものです。特異な BGP パケットを受信した際に、該当シスコ製品で脆弱性のあるバージョンのシスコIOS ソフトウェアが稼動し、BGP プロトコルが設定されている製品で、再起動が発生します。

BGP は、信頼性のるトランスポートプロトコルで、メッセージが受信される前に有効な、3-way handshake が要求される TCP 上で動作します。シスコ IOS の BGP の実装は、コネクションの確立の前に明示的な BGP Neighbor の定義が必要で、トラフィックはその BGP Neighborから来るように認識される必要があります。この実装により、不当な送信元から、BGP パケットを送信することを非常に難しくしています。

シスコ製品が無効な BGP パケットを受信した際に、再起動し完全に機能するようになるまで数分を要します。本脆弱性を繰り返し利用することによって、結果として、サービス妨害攻撃となる可能性があります。本問題は Bug ID CSCdu53656 (登録ユーザのみ)および CSCea28131(登録ユーザのみ)としてドキュメントされています。



影響

この脆弱性を利用することで、製品を再起動(リロード)する事が出来ます。連続した脆弱性の利用によりサービス妨害攻撃となる可能性があります。

ソフトウェアバージョンおよび修正

註) 全てではありませんが、テーブル上にあるリリースの多くは他の IOS アドバイザリが発行される前に、今回の Bug Fix を盛り込んだものです。現在ご利用中の IOS リリースが、これらの Fixを含んだものであるかを含め、ご確認下さい。下記の TCP, SNMPアドバイザリの大部分の IOS は BGP アドバイザリの Fixを含みます。

http://www.cisco.com/warp/public/707/cisco-sa-20040420-snmp.shtml
http://www.cisco.com/warp/public/707/cisco-sa-20040420-tcp-ios.shtml

下記の表中の各列は、対象となるリリーストレインとプラットフォーム、あるいは製品を表しています。もし、あるリリーストレインが脆弱である場合、最も早く利用可能な修正済みリリースと利用可能予定日付が、それぞれ "Rebuild", "Interim", "Maintenance" 欄に記載されています。それぞれのトレインにおいて、特定の欄のリリースよりも以前のリリース (最も早い修正リリースよりも前) を使用している製品は、脆弱であるとみなすことができます。その場合は表示されているリリースか、それ以降のバージョン (最も早い修正リリースか後) へのアップグレードが必要です。

リリースを選択する際には、次の IOS リリース定義に留意ください。

Maintenance

もっとも厳密に試験されており、下記表の列のいずれのリリースにおいて高く推奨されます。

Rebuild

同じトレイン内で、一つ前の Maintenance またはメジャーリリースから作られたもので、問題の修正を含むものです。試験項目は少なくなっていますが、脆弱性の修正に必要なごく少ない変更のみを含んだものです。

Interim

Maintenance リリース間に定期的に作られ、試験項目は少なくなっています。Interim は脆弱性に対処した適切なリリースが存在しない場合に選択されるべきで、Interim イメージを使用した場合には、次の Maintenance リリース後に迅速にアップグレードしなければなりません。Interim リリースは通常の経路からの入手は不可能で、事前に Cisco Technical Assistance Center (TAC) に手配を行わない限り、お客様が CCO からダウンロードすることはできません。

全ての場合において、アップグレードする製品が、十分なメモリを搭載し、現在のハードウェアとソフトウェア設定が新しいソフトウェアリリースによってサポートされていることを確認して下さい。もし、判断に迷う場合は、後述する 修正ソフトウェアの入手 にある Cisco TACへお問い合わせ下さい。

Cisco IOS ソフトウェアリリース名や略号については以下をご参照ください。
http://www.cisco.com/warp/public/620/1.html

修正版は以下のソフトウェアセンターより入手可能です。
http://www.cisco.com/tacpage/sw-center/

ソフトウェアのインストールやアップグレードの手順は以下をご参照ください。
http://www.cisco.com/warp/public/130/upgrade_index.shtml

提供しております修正版 Cisco IOS イメージの現況につきましては、Cisco.comにご登録いただいているお客様に限り、以下から確認が可能です。
http://www.cisco.com/tacpage/sw-center/sw-ios.shtml

Major Release

Availability of Repaired Releases*

Affected 11.1-Based Release

Rebuild

Interim**

Maintenance

11.1

Migrate to 11.2 or later

11.1AA

Migrate to 11.2P or later

11.1CA

Migrate to 12.0 or later

11.1CC

Migrate to 12.0 or later

Affected 11.2-Based Release

Rebuild

Interim**

Maintenance

11.2

11.2(26g)

   

11.2P

11.2(26)P7

   

11.2SA

Not Vulnerable

Affected 11.3-Based Release

Rebuild

Interim**

Maintenance

11.3

11.3(11f)

   

11.3T

11.3(11b)T5

   

Affected 12.0-Based Release

Rebuild

Interim**

Maintenance

12.0

   

12.0(27)

12.0DA

Migrate to 12.2DA or later

12.0S

12.0(21)S7

   

12.0(22)S2e

   

12.0(22)S3c

   

12.0(22)S4a

   

12.0(22)S5

   

12.0(23)S3

   

12.0(24)S2

   

12.0(25)S1

   
   

12.0(26)S

12.0SL

Migrate to 12.0(23)S3 or later

12.0ST

12.0(17)ST10 Available upon request

   

12.0(21)ST7

   

Migrate to 12.0(26)S2 or later

12.0SV

   

12.0(27)SV

12.0SX

12.0(25)SX

   

12.0SZ

12.0(23)SZ3

   
   

12.0(26)SZ

Migrate to 12.0(26)S2 or later

12.0T

Migrate to 12.1 or later

12.0W5

12.0(16)W5(21c)

   

12.0(25)W5(27b)

   

12.0(26)W5(28a)

   

12.0(27)W5(29)

   

12.0WC

Not Vulnerable

12.0WX

Migrate to 12.0W5 or later

12.0XA

Migrate to 12.1 latest or later

12.0XC

Migrate to 12.1 latest or later

12.0XD

Migrate to 12.1 latest or later

12.0XE

Migrate to 12.1E latest or later

12.0XG

Migrate to 12.1 latest or later

12.0XH

Migrate to 12.1 latest or later

12.0XI

Migrate to 12.1 latest or later

12.0XJ

Migrate to 12.1 latest or later

12.0XK

Migrate to 12.1T latest or later

12.0XL

Migrate to 12.2 latest or later

12.0XN

Migrate to 12.1 latest or later

12.0XP

Not Vulnerable

12.0XR

Migrate to 12.2 latest or later

12.0XS

Migrate to 12.1E latest or later

12.0XU

Not Vulnerable

Affected 12.1-Based Release

Rebuild

Interim**

Maintenance

12.1

   

12.1(20)

12.1AA

Migrate to 12.2 latest or later

12.1AX

Not Vulnerable

12.1AY

Not Vulnerable

12.1AZ

   

12.1(14)AZ

12.1DA

Migrate to 12.2DA or later

12.1DB

Migrate to 12.2B or later

12.1E

12.1(6)E12.0

   

12.1(8b)E14

   

12.1(11b)E12.0

   

12.1(12c)E7

   

12.1(13)E6

   

12.1(14)E4

   

12.1(19)E

   
   

12.1(20)E

12.1EA

12.1(14)EA1

   

12.1EB

12.1(14)EB1

   

12.1EC

   

12.1(19)EC

12.1EO

   

12.1(19)EO

12.1EV

12.1(12c)EV2

   

12.1EW

   

12.1(19)EW

12.1EX

Migrate to 12.1(14)E4 or later

12.1EY

Migrate to 12.1(14)E4 or later

12.1T

12.1(5)T19

   

12.1XA

Migrate to 12.1(5)T19 or later

12.1XB

Migrate to 12.1(5)T19 or later

12.1XC

Migrate to 12.1(5)T19 or later

12.1XD

Migrate to 12.2 or later

12.1XE

Migrate to 12.1E latest or later

12.1XF

Migrate to 12.2(4)T6 or later

12.1XG

Migrate to 12.2(4)T6 or later

12.1XH

Migrate to 12.2 or later

12.1XI

Migrate to 12.2 latest or later

12.1XJ

Migrate to 12.2(4)T6 or later

12.1XL

Migrate to 12.2T latest or later

12.1XM

Migrate to 12.2T latest or later

12.1XP

Migrate to 12.2(4)T6 or later

12.1XQ

Migrate to 12.2T latest or later

12.1XR

Migrate to 12.2T latest or later

12.1XT

Migrate to 12.2(4)T6 or later

12.1XU

Migrate to 12.2T latest or later

12.1XV

Migrate to 12.2XB or later

12.1XY

Migrate to 12.2XB or later

12.1YA

Migrate to 12.2(8)T10 or later

12.1YB

Migrate to 12.2(4)T6 or later

12.1YC

Migrate to 12.2(8)T10 or later

12.1YD

Migrate to 12.2(8)T10 or later

12.1YH

Migrate to 12.2(13)T5 or later

12.1YJ

Not Vulnerable

Affected 12.2-Based Release

Rebuild

Interim**

Maintenance

12.2

12.2(10d)

   

12.2(12e)

   

12.2(12h)M1

   

12.2(13c)

   

12.2(16a)

   
   

12.2(17)

12.2B

12.2(15)B1

   

12.2BC

12.2(15)BC1

   

12.2BW

Migrate to 12.2(15)T12 or later

12.2BX

   

12.2(16)BX

12.2BY

Migrate to 12.2(15)B1 or later

12.2BZ

Migrate to 12.2(16)BX or later

12.2CX

   

12.2(15)CX

12.2DA

12.2(12)DA6

   

12.2DD

Migrate to 12.2(15)B1 or later

12.2DX

Migrate to 12.2(15)B1 or later

12.2EW

   

12.2(18)EW

12.2JA

   

12.2(13)JA

12.2S

12.2(14)S2

   
   

12.2(18)S

12.2SE

   

12.2(18)SE

12.2SU

   

12.2(14)SU

12.2SV

   

12.2(18)SV

12.2SW

   

12.2(18)SW

12.2SX

12.2(14)SX2

   

12.2SXA

12.2(17b)SXA

   

12.2SXB

12.2(17d)SXB

   

12.2SY

   

12.2(14)SY

12.2SZ

12.2(14)SZ2

   

12.2T

12.2(4)T6

   

12.2(8)T10

   

12.2(11)T9

   

12.2(13)T5

   

12.2(15)T4

   

12.2XA

Migrate to 12.2(11)T9 or later

12.2XB

12.2(2)XB16

   

12.2XD

Migrate to 12.2(8)T10 or later

12.2XE

Migrate to 12.2(8)T10 or later

12.2XG

Migrate to 12.2(8)T10 or later

12.2XH

Migrate to 12.2(11)T9 or later

12.2XI

Migrate to 12.2(11)T9 or later

12.2XJ

Migrate to 12.2(11)T9 or later

12.2XK

Migrate to 12.2(11)T9 or later

12.2XL

Migrate to 12.2(15)T4 or later

12.2XM

Migrate to 12.2(15)T4 or later

12.2XN

Migrate to 12.2(11)T9 or later

12.2XQ

Migrate to 12.2(11)T9 or later

12.2XS

Migrate to 12.2(11)T9 or later

12.2XT

Migrate to 12.2(11)T9 or later

12.2XU

Migrate to 12.2(15)T12 or later

12.2XW

Migrate to 12.2(11)T9 or later

12.2YA

Migrate to 12.2(15)T4 or later

12.2YB

Migrate to 12.2(15)T4 or later

12.2YC

Migrate to 12.2(11)T11 or later

12.2YD

Migrate to 12.2(8)YY or later

12.2YE

Migrate to 12.2S or later

12.2YF

Migrate to 12.2(15)T4 or later

12.2YG

Migrate to 12.2(13)T5 or later

12.2YH

Migrate to 12.2(15)T4 or later

12.2YJ

Migrate to 12.2(15)T4 or later

12.2YL

Migrate to 12.3(2)T or later

12.2YM

Migrate to 12.3(2)T or later

12.2YN

Migrate to 12.3(2)T or later

12.2YO

Migrate to 12.2(14)SY or later

12.2YP

12.2(11)YP1

   

12.2YQ

Migrate to 12.3(4)T or later

12.2YR

Migrate to 12.3(4)T or later

12.2YS

Migrate to 12.3T or later

12.2YT

Migrate to 12.2(15)T4 or later

12.2YU

Migrate to 12.3(4)T or later

12.2YV

Migrate to 12.3(4)T or later

12.2YW

Migrate to 12.3(2)T or later

12.2YX

Migrate to 12.2(14)SU or later

12.2YY

12.2(8)YY3

   

12.2YZ

Migrate to 12.2(14)SZ or later

12.2ZA

12.2(14)ZA2

   

12.2ZB

Migrate to 12.3T or later

12.2ZC

Migrate to 12.3T or later

12.2ZE

Migrate to 12.3 or later

12.2ZF

Migrate to 12.3(4)T or later

12.2ZG

Migrate to 12.3(4)T or later

12.2ZH

Migrate to 12.3(4)T or later

12.2ZI

Migrate to 12.2(18)S or later

12.2ZK

   

12.2(15)ZK

12.2ZL

   

12.2(15)ZL

12.2ZN

Migrate to 12.3(2)T or later

12.2ZO

   

12.2(15)ZO

12.2ZP

   

12.2(13)ZP

Affected 12.3-Based Release

Rebuild

Interim**

Maintenance

12.3

Not Vulnerable

12.3T

Not Vulnerable





修正ソフトウェアの入手

契約を有するお客様は通常の経路でアップグレードのためのソフトウェアを入手してください。ほとんどのお客様は、シスコのワールドワイドウェブサイト上のソフトウェアセンターから入手することができます。

http://www.cisco.com/tacpage/sw-center/

シスコパートナー、正規販売代理店等と、過去または現在の契約を通じてシスコ製品を購入、保守管理しているお客様は、その正規販売代理店を経由して無償ソフトウェアアップグレードを入手してください。

シスコから直接購入するもシスコサービス契約を結んでいないお客様、およびサードパーティーベンダーから購入し、そのベンダーから修正済ソフトウェアを入手できないお客様は、次に示す連絡先を通じてシスコ Technical Assistance Center (TAC) に連絡し、修正済ソフトウェアを入手してください。TAC への連絡先は以下の通りです。

+1 800 553 2447 (北米内からフリーダイヤル)
+1 408 526 7209 (北米以外からの有料通話)
e-mail: tac@cisco.com

様々な言語に対応する各地域専用の電話番号やダイヤル手順、電子メールアドレスなど、その他の TAC 問い合わせ情報につきましては、こちらをご参照ください。

http://www.cisco.com/cisco/web/support/JP/cisco_worldwide_contacts.html

無償アップグレード資格がある証拠として、製品のシリアル番号と、この通知の URL を提示してください。契約がないお客様の無償アップグレードは TAC を通して要求してください。

ソフトウェアのアップグレードに関し、"psirt@cisco.com" もしくは"security-alert@cisco.com" にお問い合わせいただくことはご遠慮ください。

導入や購入したフィーチャーセットへのサポートをご希望される場合や、ソフトウェアの利用の際には、下記にある Ciscoソフトウェアライセンスに同意する必要があります。

http://www.cisco.com/public/sw-license-agreement.html
http://www.cisco.com/public/sw-center/sw-usingswc.shtml



回避策

回避策の効果は、お客様の状況、使用製品、ネットワークトポロジー、トラフィックの性質や組織の役割に依存します。影響製品が多種多様であるため、回避策を実際に展開する前に、対象とするネットワークで適用する回避策が最適であるか、お客様のサービスプロバイダーやサポート組織にご相談ください。

BGP セキュリティ・リスクアセスメント、緩和策、展開のベスト・プラクティスに関するさらなる情報は以下より入手可能です。

ftp://ftp-eng.cisco.com/cons/isp/security/BGP-Risk-Assesment-v.pdf

BGP MD5

通常の状態においては、TCP プロトコルの順序番号 (sequence number) チェックのような元々存在するセキュリティの仕組みがあり、捏造したパケットを作ることは困難ではあるものの、本問題を悪用することは技術的には可能です。シスコ IOS が稼動する製品では、BGP MD5 認証を設定することが、脆弱な製品を保護するために有効な回避策になります。

以下の例のように設定可能です:

router(config)#router bgp
router(config-router)#neighbor <IP_address> password <enter_your_secret_here>


両方のピアで同時に同一の MD5 Secret 設定する必要があります。そうしないと、確立されている BGP セッションが切断され、両方の製品で同一の Secret が 設定されるまで、新しい BGP セッションが確立されません。BGP の設定方法に関する詳細な方法は、以下のドキュメントをご参照ください。

http://www.cisco.com/en/US/products/sw/iosswrel/ps1828/products_configuration_guide_chapter09186a00800ca571.html

一旦 Secret が設定された後は、定期的に変更するのが賢明といえます。変更間隔はセキュリティーポリシーに依存しますが、2〜3ヶ月以内であるべきです。Secret を変更する場合には、やはり両側の製品で同時に実行する必要があります。例外は使用する IOS リリースに CSCdx23494 (登録ユーザのみ)が組み込まれている場合です。この修正によって、片方のみで MD5 Secret が変更されても、BGP セッションは切断されません。しかし、その場合でも BGP Update は、両側の製品で 同一の Secret が設定されるか、Secret が両側の製品から削除されるまで処理 されません。

基幹設備へのアクセスの遮断

通過するトラフィックを遮断するのはしばしば困難ですが、基幹設備宛ての許可されていないトラフィックを特定し、そのトラフィックをネットワークの境界で遮断することは可能です。Infrastructure ACLs (iACL) はネットワークセキュリティのベスト・プラクティスと考えられ、本脆弱性の回避策としてのみならず、ネットワークセキュリティ向上に長期的にも貢献すると考えるべきです。

"Protecting Your Core: Infrastructure Protection Access Control Lists"

のホワイトペーパーにはアクセスリストによって基幹製品を守るためのガイドラインと、推奨される実施方法が記載されています。

http://www.cisco.com/warp/customer/707/iacl.html



不正利用事例と公表

本脆弱性の発見に至ったリサーチの結果は、2003 年 6 月の NANOG にて発表されました。Cisco PSIRT では、本アドバイザリに記載されている脆弱性を利用した、不正利用事例は確認していません。本問題は、内部試験ならびに University of California Santa Barbara のリサーチチームによる報告を契機として確認されました。



この通知のステータス:Final

本アドバイザリーは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。本アドバイザリーの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。またシスコシステムズは本ドキュメントの変更や更新を実施する権利を有します。

後述する情報配信の URL を省略し、本アドバイザリーの記述内容に関して、独自の複製・意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む、統制不可能な情報の伝搬が行われる可能性があります。



情報配信

本アドバイザリーは、以下のシスコのワールドワイドウェブサイト上に掲載されます。

http://www.cisco.com/warp/public/707/cisco-sa-20040616-bgp.shtml

ワールドワイドのウェブ以外にも、次の電子メールおよび Usenet ニュースの受信者 向けに、この通知のテキスト版がシスコ PSIRT PGP キーによるクリア署名つきで投稿されています。

* cust-security-announce@cisco.com
* first-teams@first.org (includes CERT/CC)
* bugtraq@securityfocus.com
* vulnwatch@wulnwatch.org
* cisco@spot.colorado.edu
* cisco-nsp@puck.nether.net
* full-disclosure@lists.netsys.com
* comp.dcom.sys.cisco@newsgate.cisco.com

この通知に関する今後の最新情報は、いかなるものもシスコのワールドワイドウェブに掲載される予定です。しかしながら、前述のメーリングリストもしくはニュースグループに対し積極的に配信されるとは限りません。この問題に関心があるお客様は上記 URL にて最新情報をご確認いただくことをお勧めいたします。



更新履歴

Revision 1.0 16-June-2004 初版




シスコ セキュリティ手順

シスコ製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およびシスコからセキュリティ情報を入手するための登録方法について詳しく知るには、シスコワールドワイドウェブサイトのhttp://www.cisco.com/warp/public/707/sec_incident_response.shtml にアクセスしてください。 このページにはシスコのセキュリティ通知に関してメディアが問い合わせる際の指示が掲載されています。全てのシスコセキュリティアドバイザリは http://www.cisco.com/go/psirt で確認することができます。