Cisco IOS Software Network Address Translation Denial of Service Vulnerability

2014 年 9 月 26 日 - ライター翻訳版
その他のバージョン: PDFpdf | 英語版 (2014 年 9 月 24 日) | フィードバック

Advisory ID: cisco-sa-20140924-nat

http://www.cisco.com/cisco/web/support/JP/112/1126/1126239_cisco-sa-20140924-nat-j.html

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

Revision 1.0

For Public Release 2014 September 24 16:00 UTC (GMT)

関連資料:

関連するブログの表示関連するイベント レスポンスの表示関連するアラートの表示

要約

Cisco IOS ソフトウェアのネットワーク アクセス変換(NAT)機能の脆弱性により、認証されていないリモートの攻撃者によってサービス拒否(DoS)状態が引き起こされる可能性があります。この脆弱性は、IP バージョン 4(IPv4)パケットの不適切な変換に起因します。

シスコはこの脆弱性に対処する無償のソフトウェア アップデートをリリースしました。

このアドバイザリは、次のリンクで確認できます。
http://www.cisco.com/cisco/web/support/JP/112/1126/1126239_cisco-sa-20140924-nat-j.html

注:2014 年 9 月 24 日の Cisco IOS ソフトウェア セキュリティ アドバイザリ バンドル公開には 6 件の Cisco Security Advisory が含まれています。これらのアドバイザリはすべて、Cisco IOS ソフトウェアの脆弱性に対処するものです。個別の公開リンクは、次のリンクにある「Cisco Event Response: Semiannual Cisco IOS Software Security Advisory Bundled Publication」に掲載されています。

http://www.cisco.com/cisco/web/support/JP/112/1126/1126235_Cisco_ERP_sep14-j.html

該当製品


脆弱性が認められる製品

該当する Cisco IOS ソフトウェア リリースを実行しているシスコ デバイスは、NAT が設定され、セッション開始プロトコル(SIP)でマルチパート セッション説明プロトコル(SDP)の NAT アプリケーション レイヤ ゲートウェイ(NAT ALG)が有効にされると、脆弱性を生じます。SIP におけるマルチパート SDP の NAT ALG は、デフォルトで無効になっています。

Cisco IOS デバイスに NAT が設定されているかどうかは、次の 2 つの方法で確認できます。
  • デバイスで NAT が有効か確認する。
  • デバイスの設定に NAT コマンドが含まれているか確認する。
Cisco IOS デバイスで NAT が有効になっているかどうかを調べるには、デバイスで NAT が有効かどうか確認することを推奨します。

SIP でマルチパート SDP の NAT ALG が設定されているかどうか確認するための方法が 1 つあります。

デバイスで NAT が有効か確認する

Cisco IOS ソフトウェアを実行するシスコ デバイスで NAT が有効かどうかを確認するには、デバイスにログインして show ip nat statistics コマンドを実行します。NAT が有効な場合は、「Outside interfaces」および「Inside interfaces」の各セクションに少なくとも 1 つのインターフェイスが表示されます。次の例は、NAT が有効になっているデバイスでの表示例です。
Router#show ip nat statistics
Total active translations: 0 (0 static, 0 dynamic; 0 extended)
Peak translations: 10, occurred 00:24:01 ago
Outside interfaces:
  FastEthernet0/0
Inside interfaces: 
  FastEthernet0/1
Hits: 134280  Misses: 0
CEF Translated packets: 134270, CEF Punted packets: 10
Expired translations: 11
Dynamic mappings:
-- Inside Source
[Id: 1] access-list NET-192.168.20.0_24 pool POOL-NET-192.168.1.0_24 refcount 0
 pool POOL-NET-192.168.1.0_24: netmask 255.255.255.0
start 192.168.1.120 end 192.168.1.128
type generic, total addresses 9, allocated 0 (0%), misses 0

Total doors: 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0
Router#
show ip nat statistics コマンドの出力にインターフェイスがリストされていない場合でも、NAT 仮想インターフェイス機能を通じて NAT がデバイス上で有効になっている可能性があります。この機能を通じて NAT が有効になっているかどうかを確認するには、show ip nat nvi statistics コマンドを実行します。NAT が有効の場合には、「NAT Enabled interfaces」セクションに少なくとも 1 つのインターフェイスが表示されます。次の例は、NAT が有効になっているデバイスでの表示例です。
Router#show ip nat nvi statistics
Total active translations: 1 (0 static, 1 dynamic; 1 extended)
NAT Enabled interfaces:
  FastEthernet0/0, FastEthernet0/1
Hits: 81373  Misses: 3
CEF Translated packets: 44371, CEF Punted packets: 8
Expired translations: 3
Dynamic mappings:
-- Source [Id: 1] access-list NET-192.168.20.0_24 pool POOL-NET-192.168.1.0_24 refcount 1
 pool POOL-NET-192.168.1.0_24: netmask 255.255.255.0
start 192.168.1.120 end 192.168.1.128
type generic, total addresses 9, allocated 1 (11%), misses 0
Router#

デバイスの設定に NAT コマンドが含まれているか確認する

Cisco IOS ソフトウェアの設定で NAT が有効になっているかどうかを確認するには、デバイスにログインして show running-config コマンドを実行します。NAT が有効な場合は、ip nat inside および ip nat outside インターフェイス コマンドが存在します。一方、NAT 仮想インターフェイスの場合は、ip nat enable インターフェイス コマンドが存在します。

注:デバイスに存在する Cisco Easy VPN Remote クライアント機能の設定では、NAT が自動的に有効になります。Cisco Easy VPN Remote 機能により作成された NAT/PAT(Port Address Translation)変換設定は、startup-config や running-config ファイルには書き込まれません。ただし、これらの設定は、show ip nat statistics コマンドを使用して表示することができます。

デバイス設定の SIP でマルチパート SDP の NAT ALG が有効になっているか確認する

Cisco IOS ソフトウェアを実行する Cisco IOS デバイスで、SIP トラフィックにおけるマルチパート SDP の NAT ALG を有効にするためには、デバイス設定に ip nat service allow-multipart コマンドが存在する必要があります。次の例は、SIP でマルチパート SDP の NAT ALG が有効になっているデバイスでの表示例です。
Router#show running-config | include ip nat service allow-multipart
ip nat service allow-multipart
Router#

デバイス上の Cisco IOS ソフトウェア リリースを確認する

シスコ製品で稼働している Cisco IOS ソフトウェア リリースを確認するには、デバイスにログインし show version コマンドを実行してシステム バナーを表示させます。「Internetwork Operating System Software」、「Cisco IOS Software」あるいはこれらに類似するシステム バナーによってデバイスで Cisco IOS ソフトウェアが稼働していることを確認できます。その後ろにイメージ名が括弧の間に表示され、続いてバージョンと Cisco IOS ソフトウェア リリース名が表示されます。他のシスコ デバイスでは、show version コマンドがない場合や、表示が異なる場合があります。

次の例は、シスコ製品で Cisco IOS ソフトウェア リリース 15.2(4)M5 が稼働し、インストールされているイメージ名が C3900-UNIVERSALK9-M であることを示しています。

Router> show version 
Cisco IOS Software, C3900 Software (C3900-UNIVERSALK9-M), 15.2(4)M5, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2013 by Cisco Systems, Inc.
Compiled Fri 13-Sep-13 16:44 by prod_rel_team
!--- output truncated 

Cisco IOS ソフトウェア リリースの命名規則の追加情報は、ホワイト ペーパー「Cisco IOS and NX-OS Software Reference Guide」で確認できます。

脆弱性が認められない製品

Cisco IOS ソフトウェアを実行するシスコ デバイスで NAT 機能が設定されていない場合は、そのデバイスに脆弱性は生じません。Cisco IOS ソフトウェアを実行するシスコ デバイスで NAT 機能が設定されていても、SIP でマルチパート SDP の NAT ALG が有効になっていない場合は、そのデバイスに脆弱性は生じません。

次の製品は、脆弱性の影響を受けないことが確認されています。
  • Cisco IOS XR ソフトウェア
  • Cisco IOS XE ソフトウェア
  • Cisco NX-OS ソフトウェア
  • Cisco ASA ソフトウェア
他のシスコ製品において、この脆弱性の影響を受けるものは現在確認されていません。

詳細

Cisco IOS ソフトウェアのアプリケーション レイヤ ゲートウェイ(ALC)モジュールの脆弱性により、認証されていないリモートの攻撃者によって該当デバイスのリロードが引き起こされ、サービス拒否(DoS)状態につながる可能性があります。

この脆弱性は、ネットワーク アドレス変換(NAT)を必要とするセッション開始プロトコル(SIP)メッセージが、該当するデバイスでどのように処理されるかに起因します。攻撃者は、不正な SIP メッセージを送信して該当デバイスに変換処理させることにより、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者がデバイスをリロードさせ、それが DoS 状態につながる可能性があります。

この脆弱性は、マルチパート SDP トラフィック(RFC 5621 に定義)が NAT 処理され、また、SIP におけるマルチパート SDP の NAT ALG がデバイスで有効になることによって発生します。SIP におけるマルチパート SDP の NAT ALG は、デフォルトで無効になっています。この脆弱性は、該当デバイスを通過するトラフィックによってのみ引き起こされ、該当デバイス自体を宛先とするトラフィックでは不正利用されません。この脆弱性は、IP バージョン 6(IPv6)トラフィックで不正利用することはできません。

この脆弱性は、Cisco Bug ID CSCun54071登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)ID として CVE-2014-3361 が割り当てられています。

脆弱性スコア詳細

シスコは本アドバイザリでの脆弱性に対し、Common Vulnerability Scoring System(CVSS)に基づいたスコアを提供しています。本セキュリティ アドバイザリでの CVSS スコアは、CVSS バージョン 2.0 に基づいています。

CVSS は、脆弱性の重要度を示唆するもので、緊急性および対応の優先度を決定する組織の手助けとなる標準ベースの評価法です。

シスコでは、基本評価スコア(Base Score)および現状評価スコア(Temporal Score)を提供しています。お客様はこれらを用いて環境評価スコア(Environmental Score)を算出し、自身のネットワークにおける脆弱性の影響度を知ることができます。
シスコは次のリンクで CVSS に関する追加情報を提供しています。
http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html

またシスコでは、各ネットワークにおける環境影響度を算出する CVSS 計算ツールを次のリンクで提供しています。
http://tools.cisco.com/security/center/cvssCalculator.x

CSCun54071 - Cisco IOS Software Network Address Translation Denial of Service Vulnerability

Calculate the environmental score of CSCun54071

CVSS Base Score - 7.1

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Medium

None

None

None

Complete

CVSS Temporal Score - 5.9

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed


影響

この脆弱性が不正利用されると、該当するデバイスのリロードが引き起こされる可能性があります。また不正利用が繰り返されると、長時間にわたって DoS 状態が続きます。

ソフトウェア バージョンおよび修正

ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt/ の Cisco Security Advisories, Responses, and Notices アーカイブや、後続のアドバイザリを参照して、起こりうる障害を判断し、それに対応できるアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードするデバイスに十分なメモリがあること、現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンス プロバイダーにお問い合わせください。

Cisco IOS ソフトウェア

シスコでは、Cisco IOS ソフトウェアの脆弱性を判断するためのツールを提供しています。Cisco IOS ソフトウェア チェッカーを使用すると、お客様は次のタスクを実行できます。

  • ドロップダウン メニューからリリースを選択するか、ローカル システムからファイルをアップロードして、検索を開始します。
  • show version コマンド出力を入力してツールで解析します。
  • 以前に公開されたすべての Cisco Security Advisory、特定の公開内容、または 2014 年 9 月のすべてのバンドル公開内容を含めて、カスタマイズされた検索を作成します。

このツールにより、クエリされたソフトウェア リリースに影響を与える Cisco Security Advisory と、各 Cisco Security Advisory のすべての脆弱性を修正する最初のリリース(初回修正)を見つけることができます。このツールはさらに、表示された全アドバイザリのすべての脆弱性を修正する最初のリリース(総合初回修正)も分かります。Cisco IOS ソフトウェア チェッカーを使用するか、または以下のフィールドに Cisco IOS ソフトウェアのリリースを入力し、このバンドル公開に含まれているいずれかのアドバイザリの影響を受けるものがあるかどうかを判断してください。

(入力例:15.1(4)M2)

Cisco IOS XE ソフトウェア

Cisco IOS XE ソフトウェアは、このアドバイザリで説明されている脆弱性の影響は受けません。

Cisco IOS XR ソフトウェア

Cisco IOS XR ソフトウェアは、2014 年 9 月の Cisco IOS Software Security Advisory バンドル公開に含まれている脆弱性の影響を受けません。

回避策

この脆弱性は、SIP でマルチパート SDP の NAT ALG を無効にすることで緩和できます。SIP でマルチパート SDP の NAT ALG を無効にするには、グローバル コンフィギュレーション モードで no ip nat service allow-multipart を使用します。

注:SIP でマルチパート SDP の NAT ALG を無効にすると、サードパーティの SIP ゲートウェイやデバイスとの相互運用に悪影響を及ぼす可能性があります。

修正済みソフトウェアの入手

シスコはこのアドバイザリに記載された脆弱性に対処する無償のソフトウェア アップデートを提供しています。ソフトウェアの導入を行う前に、お客様のメンテナンス プロバイダーにご相談いただくか、ソフトウェアのフィーチャ セットの互換性およびお客様のネットワーク環境の特有の問題をご確認ください。

お客様がインストールしたりサポートを受けたりできるのは、ご購入いただいたフィーチャ セットに対してのみとなります。そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は http://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.html に記載のシスコのソフトウェア ライセンスの条項に従うことに同意したことになります。

サービス契約をご利用のお客様

サービス契約をご利用のお客様は、通常のアップデート チャネルからアップグレード ソフトウェアを入手してください。ほとんどのお客様は、Cisco.com の Software Navigator からアップグレードを入手することができます。http://www.cisco.com/cisco/software/navigator.html

サードパーティのサポート会社をご利用のお客様

シスコ パートナー、正規販売代理店、サービス プロバイダーなど、サードパーティのサポート会社と以前に契約していたか、または現在契約しており、その会社からシスコ製品の提供または保守を受けているお客様は、該当するサポート会社に連絡し、正しい処置についてのサポートを受けてください。

回避策や修正の効果は、使用している製品、ネットワーク トポロジー、トラフィックの性質や組織の目的などに関するお客様の状況によって異なります。影響を受ける製品やリリースは多種多様であるため、回避策を実施する前に、対象ネットワークで適用する回避策または修正が最適であることを、お客様のサービス プロバイダーやサポート会社にご確認ください。

サービス契約をご利用でないお客様

シスコから製品を直接購入したもののシスコのサービス契約をご利用いただいていない場合、または、サードパーティ ベンダーから購入したものの修正済みソフトウェアを購入先から入手できない場合は、Cisco Technical Assistance Center(TAC)に連絡してアップグレード ソフトウェアを入手してください。
  • +1 800 553 2447(北米からの無料通話)
  • +1 408 526 7209(北米以外からの有料通話)
  • Eメール:tac@cisco.com
無償アップグレードの対象製品であることを証明していただくために、製品のシリアル番号と、本アドバイザリの URL をご用意ください。サービス契約をご利用でないお客様は TAC に無償アップグレードをリクエストしてください。

さまざまな言語向けの各地の電話番号、説明、電子メール アドレスなどの、この他の TAC の連絡先情報については、シスコ ワールドワイドお問い合わせ先(http://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html)を参照してください。

不正利用事例と公式発表

Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性の不正利用事例とその公表は確認しておりません。

この脆弱性は、お客様からのお問い合わせに対応する際に発見されました。

この通知のステータス:FINAL

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。またシスコはいつでも本ドキュメントの変更や更新を実施する権利を有します。

後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して単独の転載や意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。


情報配信

このアドバイザリは次のリンクにある Cisco Security Intelligence Operations に掲載されます。
http://www.cisco.com/cisco/web/support/JP/112/1126/1126239_cisco-sa-20140924-nat-j.html

また、このアドバイザリのテキスト版が Cisco PSIRT PGP キーによるクリア署名つきで次の電子メールで配信されています。
  • cust-security-announce@cisco.com
  • first-bulletins@lists.first.org
  • bugtraq@securityfocus.com
  • vulnwatch@vulnwatch.org
  • cisco@spot.colorado.edu
  • cisco-nsp@puck.nether.net
  • fulldisclosure@seclists.org
本アドバイザリに関する今後の更新は Cisco.com に掲載されますが、メーリング リストで配信されるとは限りません。更新内容については、本アドバイザリの URL でご確認ください。

更新履歴

Revision 1.0 2014-September-24 Initial public release.

シスコ セキュリティ手順

シスコ製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関するサポート、およびシスコからセキュリティ情報を入手するための登録方法の詳細については、Cisco.com の http://www.cisco.com/web/about/security/psirt/security_vulnerability_policy.html を参照してください。この Web ページには、Cisco Security Advisory に関してメディアが問い合わせる際の指示が掲載されています。すべての Cisco Security Advisory は、http://www.cisco.com/go/psirt/ で確認することができます。