TECHNICAL SUPPORT

	テクニカルノーツ

Cisco Security Advisory: Crafted ICMP Messages Can Cause Denial of Service

Revision 1.2

最終更新日 2005 年 4 月 22 日 22:30（GMT）

公開日 2005 年 4 月 12 日 12:00（GMT）

目次

要約
該当製品
詳細
影響
ソフトウェアバージョンおよび修正
修正ソフトウェアの入手
回避策
不正利用事例と公表
この通知のステータスfinal
情報配信
更新履歴
シスコセキュリティ手順

要約

インターネット コントロール メッセージ プロトコル (ICMP) を利用したトランスミッション コントロール プロトコル (TCP) への

サービス妨害攻撃 (Denial of Service (DoS) attack) が可能なことが記述されているドキュメントがあり、そのドキュメントは、インターネット エンジニアリング タスクフォース(IETF)のドラフト "ICMP Attacks Against TCP" (draft-gont-tcpm-icmp-attacks-03.txt)として公開されています。

これらの攻撃は、その機器自体がセッションを終端しているか、発信している時のみ影響があり、

1. ICMP "hard error"メッセージを使用した攻撃、
2. パス最大伝送ユニット(PMTU)への攻撃として知られる、ICMP "Fragmentation needed and Don't Fragment (DF) bit set"メッセージを使用した攻撃、
3. ICMP "source quench"メッセージを使用した攻撃、

このインターネットドラフトに記述された攻撃により、シスコの複数の製品が影響を受けます。

シスコでは、本脆弱性対処用の無償のソフトウェアを提供しています。 また、場合によっては本脆弱性の影響を緩和する回避策 もあります。

本アドバイザリは以下にて確認可能です。
http://www.cisco.com/warp/public/707/cisco-sa-20050412-icmp.shtml

http://www.niscc.gov.uk/niscc/docs/re-20050412-00303.pdf?lang=en

該当製品

脆弱性が存在する製品

Cisco IOS

gw>show version
Cisco Internetwork Operating System Software
IOS (tm) C806 Software (C806-K9OSY6-M), Version 12.2(15)T14, RELEASE SOFTWARE (fc4)
[...]

• TCP over IPv4：BGP でのピアのように、IOS 機器が他の機器と TCP セッシ ョンを確立している場合で、PMTUD が設定されていると、細工された ICMP "Fragmentation needed and Don't Fragment (DF) bit set" エラ ーメッセージに対して脆弱です。



• TCP over IPv6：PMTUD は IPv6 でのデフォルト設定であり、IPv6が設定さ れている機器で、もし BGP のように TCP を利用するサービスが有効な場合、 PMTU D攻撃に対して脆弱です。機器が単に IPv6 トラフィックを転送す るだけで、他の端末と TCP セッションを確立しない場合、影響は受けま せん。



• IP Security (IPSec): IOS機器は、IPsecが設定されると PMTUD がデフォ ルトで動作するため、本ドキュメントで示すPMTUD攻撃に影響を受ける ようになります。IOS機器でcrypto map か tunnel protection が インターフェースで設定されるような IPsec 設定のときです。

crypto ipsec profile IPSEC_PROFILE
 [...]
!
crypto map MYMAP 1 ipsec-isakmp
 [...]
!
interface Tunnel0
 tunnel protection ipsec profile IPSEC_PROFILE
 [...]
!
interface Ethernet1
 crypto map MYMAP
 [...]

• Generic Routing Encapsulation および IPinIP：これらのトンネルの設定 がされた機器で PMTUD が有効な場合、細工された ICMP "fragmentation needed and DF bit set" メッセージに対して脆弱です。これらの２つのプロト コルの PMTUD デフォルト設定は停止です。 設定で tunnel path-mtu-discoveryが記述されている機器が脆弱とな ります。



• Layer 2 Tunneling Protocol(L2TP) Version 2 と、Layer 2 Tunneling Protocol Version 3(L2TPv3)：これらのトンネルの設定がされた機器で PMTUD が有効な場合、細工された ICMP "fragmentation needed and DF bit set"メッセージに脆弱です。これらの2つのプロトコルのPMTUDデ フォルト設定は停止です。L2TPが動作する機器で、ip pmtu 設定がさ れている場合に脆弱となります。
  
  注： L2TP (version 2) と L2TPv3 (version 3)は、2つのそれぞれ別の 独立したプロトコルですが、両方とも影響を受け、また同じような影響 のされ方をするので、このドキュメントでは１つとして扱います。

• Catalyst 4000、6000 スイッチ がI OS をハイブリッド(Supervisor Engine で CatOS、Multilayer Switch Feature Card で IOS が動作)か、ネイテ ィブ(Supervisor Engineで IOS が動作)モードで動作する場合。
• Cisco Aironet Wireless LAN アクセスポイントと、ブリッジ
• Catalyst 2900XL、2900XL-LRE、3500XL、2940、2950、2950-LRE、2955 および 2970 シリーズスイッチ
• Catalyst 2948G-L3、3550、3560、3750、and 3750-ME シリーズスイッチ
• Communication Media Module (CMM)
• Cisco Optical Network Solutions (ONS) products: ONS 15454 と ONS 15530/15540で利用される ML と SL blades
• Cisco Distributed Director

IOS 以外の製品

• Cisco CRS-1：CRS-1のIOS XR においても、CRS-1 が BGP のような TCP を使 用したアプリケーションで他の機器とセッションを確立する場合、PMTU D 攻撃や ICMP "hard error" メッセージを使用した攻撃に脆弱性が存在 します。 IOS XR の PMTUD のデフォルト設定は停止ですが、機器で tcp path-mtu-dis covery が設定された場合に PMTUD が動作となります。show version コマ ンドを使用することで IOS XRのバージョン情報を得ることができます。
  
• Cisco Secure PIX Security Appliance: PIX で IPSec が設定されている場合、PMTUD 攻撃に対する脆弱性が存在します。影響を受けるトラフィックは攻撃を受けた特定の IPSec トンネルのみです。
  PIX firmware の デフォルトでは IPSec は停止です。
  PIX で IPSec が動作するのは、機器のインターフェースに crypto map 設定がある場合で、コマンドは以下になります。

  crypto map <crypto map name> interface <interface name>

  show versionコマンドにより、PIX で動作しているバージョン情報を得 ることができます。PIX Security Appliance ソフトウエアのバージョン 7.0 以降はこれらの脆弱性の影響を受けません 。



• Cisco IP Phones
  • 7940/7960 with Skinny Client Control Protocol (SCCP) firmware.
  • 940/7960 with Session Initiation Protocol (SIP) firmware.
  • 7970 with Skinny Client Control Protocol firmware (細工され た ICMP "hard error" メッセージに対してのみ脆弱)
  Cisco IP Phone で動作しているファームウェアは、電話の "Settings" を押し、"Status" メニュオプションを選ぶことで得ることができます。
  
• Cisco Catalyst 6608 Voice Gateway と Cisco 6000 FXS Analog Inter face Module (WS-X6624-FXS)： 細工された ICMP "hard error" メッセージと、ICMP "source quench" メッ セージに対して脆弱です。 6608 と 6624 ファームウェアのバージョンは Catalyst 6500シリーズ スイッチにログインし show version コマンドを実行することで得ら れます。
  
• Global Site Selector (GSS).



• Cisco ONS products: ONS 15302 and ONS 15305.



• Cisco MDS 9000 Series Multilayer Switches.



• VPN 5000 concentrator.



• Cisco MGX-8250 (PXM-1 based) および MGX-8850 (PXM-1E and PXM-45 based) - コントロールプレインのみ脆弱です、スイッチングサービスには影響がありません。



• Cisco Content Switching Module (CSM) - コントロールプレインのみ脆弱です、スイッチングサービスには影響がありません。

脆弱性が存在しない製品

• Cisco Firewall Services Module (FWSM) for Cisco Catalyst 6500 Series and Cisco 7600 Series.
• Cisco Guard and Cisco Traffic Anomaly Detector Denial of Service mitigation appliances.
• Catalyst Switches.
  以下の Catalystスイッチで IOS が動作していない場合、本ドキュメン トで記述された脆弱性の影響を受けません：
• 1200
• 1700
• 1900
• 2100
• 28xx
• 2948G-GE-TX
• 2900, 2902, 2926T and 2926G
• 3000, 3100, 3200
• 3900
• 5000
• Catalyst 4000、6000 スイッチでは CatOS か IOS を動作させること ができます。CatOS で動作する場合、Multilayer Switch Feature Card (MSFC) が無ければ、脆弱性はありません(MSFC は IOS で動作す るため)。IOS 動作する場合、上記の[脆弱性が存在する製品」 で書かれたように、脆弱性が存在します。
• Cisco ONS products:
• ONS 15327 Metro Edge Optical Transport Platform
• ONS 15454 Optical Transport Platform(MSPP and MSTP)
• ONS 15531/15532 T31 OMDS Metro WDM System
• ONS 15216 EDFA3/EDFA2/OADM
• ONS 15310 CL.
• Cisco IP Phones
  • ATA 186/188
  • 7910
  • 7912
  • 7902/5
  • 7920
• Cisco VG248 Analog Phone Gateway
• Cisco MeetingPlace.
• シスコ VPN 3000 Series Concentrators, VPN 3002 Hardware Clients, VPN Software Client (注意：VPN Software Client 自体に脆弱性は存在し ませんが、VPN clients が動作している OS は影響を受けるはずです。 利用している OS の製造者にご確認ください)
• Cisco BTS 10200 Softswitch
• Cisco Application and Content Networking System (ACNS) ソフトウェアが稼動する。 Content Engine、Content Router および Content Distribution Manager。
• Cisco Local Director

Microsoft Security Bulletin MS05-019によると Microsoft Windows は PMTUD 攻撃および ICMP "hard error" メッセージによる攻撃に対して脆弱性が存在します。 以下の voice and IP communication 製品は Microsoft Windows OSと共に出荷され、また、その上で動作します。 しかし、 これらの製品に同梱されている現行の Microsoft Windows (release 2000.2.5)はシスコで作成され、PMTUD はデフォルトで停止です。 (release 200.2.4 およびそれ以前は Microsoft のデフォルトの通り PMTUD が動作します）これらの製品が脆弱性が存在するのは、 利用者が明示的に PMTUD を動作させ、かつ Microsoft WindowsがこのICMP脆弱性に影響を受ける場合となります。

• Cisco Call Manager.
• Cisco IP Interactive Voice Response.
• Cisco IP Call Center Express.
• Cisco IP Queue Manager.
• Cisco Personal Assistant.
• Cisco Emergency Responder.
• Cisco Conference Connection.
• Cisco Internet Service Node.

以下の製品はシスコでカスタマイズした Microsoft Windows を使用していません。Microsoft Security Bulleting MS05-019の記述の通り
Microsoft Windows では PMTUD はデフォルトで動作することとなるため、 これらの製品で設定の変更をしていない場合は PMTUD 攻撃に対する脆弱性が存在するはずです。また、ICMP "hard error" メッセージに対しても脆弱性が存在します。

• Cisco Unity.
• Cisco IP Contact Center Enterprise Edition.

シスコ製品と共に使用しているMicrosoft WindowsでPMTUDが動作しているかどうかは、下記のレジストリキーを確認してください。:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery

レジストリーキーが存在する場合、PMTUD はキーの値によって動作・停止が決定されます。キーが存在しない場合、PMTUD は動作します。

Cisco Secure ACS Solution Engine（Cisco Secure ACS Appliance）は Microsoft Windows をベースとしており、従って PMTUD 攻撃および ICMP "hard error" メッセージ による攻撃に対する脆弱性が存在します。しかし、最近の ACS Solution Engine は Cisco Security Agent (CSA) とともに出荷されており、それはICMP メッセージを一切 受信しないように設定されています。この状態において Cisco Secure ACS Solution Engine は本ドキュメントに記載された脆弱性は存在しません。

ICMP echo request (ping) を ACS Appliance に送信してみることで CSA がインストールされていて動作しているか確認できます。（返送された）ICMP echo reply が受信された場合は CSA が 動作していないかインストールされていないことになります。

CSA が利用可能か確認するためには "System Configuration:Upgrade Appliance" でどのバージョンがインストールされているか確認し、"System Configuration: Appliance Configuration" で CSA が 動作しているか確認します。

該当製品略記

1つの製品にいくつかのモデルがある場合、それぞれで異なる影響を受けることがあます。 追加の情報については 詳細の項を御参照ください。

詳細

ICMP は TCP/IP プロトコルの重要な要素で、エラー情報や診断情報を提供します。 ICMP エラーメッセージはセッションのエンドシステムあるいは中継ルータのいずれにおいても生成される可能性があります。 エンドシステムや中継ルータは受け取った ICMP エラーメッセージで報告されたエラーのタイプにより異なった動作をとります。 ICMP で報告されるエラーには "hard error" と "soft error" の二種類があります。

RFC 1122 ("Requirements for Internet Hosts - Communications Layers" - http://www.ietf.org/rfc/rfc1122.txt)は、 ３つの "hard error"（"protocol unreachable", "port unreachable" and "fragmentation needed and Don't Fragment bit set"）と ５つの "soft error"（"network unreachable", "host unreachable", "source route failed", "time exceeded", and "parameter problem"）を 定義しています。これ以外のICMPエラーメッセージとして、"source quench" がホストにより生成されることがあります。 "source quench" が "hard error" なのか "soft error" なのか RFC1122 には明確な記述がありませんが、 それを受け取ったホストの振る舞いを考えると "soft error" と考えるべきです。なぜなら、この時ホストは ICMP "source quench" メッセージを 生成したホストへの送信データレートを暫くの間減少させ、その後次第に送信レートを増加させるからです。

ICMP エラーメッセージの "Fragmentation needed and Don't Fragment bit set" (type 3, code 4)は RFC 1191 ("Path MTU discovery" - http://www.ietf.org/rfc/rfc1191.txt) の PMTU Discovery と呼ばれる重要なメカニズムに使用されます。 このメカニズムにより TCP/IP プロトコルは Path MTU を動的に決めることが出来るため、 IP パケットの分割を最小限に防ぎ帯域を有効利用することが出来ます。このメカニズムはホストにとり必須のものではありませんが、 それを実装したホストは "Fragmentation needed and Don't Fragment bit set" メッセージを受け取ると "soft error" として 処理しなければなりません。IPパケットの分割とPMTUDが分割を防ぐ仕組みに関しては、シスコのホワイトペーパー "IP Fragmentation and PMTUD" （http://www.cisco.com/en/US/tech/tk827/tk369/technologies_white_paper09186a00800d6979.shtml. をご参照ください。

ICMP により報告される "hard error" と "soft error" の違いにより、それを受け取ったホストの動作は異なります。 一般的には、TCPのようなコネクション型のプロトコルにおいてICMP "hard error" を受け取った場合にはそのコネクションを開放します。 またICMP "soft error" を受け取ったホストはそのエラーを引き起こした状況を解消しようとします。

インターネットドラフト"ICMP Attacks Against TCP" (draft-gont-tcpm-icmp-attacks-03.txt)には、 ICMPを用いてTCPプロトコルに対するDOS攻撃を行なう方法について記述されています。 これらの攻撃を行なうには通信を行なう両ホストの IP アドレス（と TCP の場合）ポート番号を知る必要がありますが、 コネクションをリセットしたりスループットを低下させることが出来ます。

注：これらの攻撃はそのデバイスが始点・終点となるセッションにのみ影響し、中継トラフィック、 すなわちそのデバイスを通過し他のデバイスで終端するトラフィックには影響がありません。

細工された ICMP "hard error"メッセージによる攻撃

ICMP "hard error" メッセージを受け取ったホストは、エラーメッセージの示す相手のホストとのコネクションを開放しなければなりません。 このホストは必ずしもICMPメッセージを生成したシステムである必要はなく、IP ヘッダーと ICMP ペイロードに埋め込まれた トランスポート・プロトコルデータにより一意に識別されます。コネクションを開放する理由は、"hard error" が復旧困難な深刻な ネットワークの問題を意味するからです。細工された ICMP "hard error" メッセージのために、ホストは実際には問題のないコネクションを 開放してしまうかもしれません。 この種の攻撃をインターネットドラフト "draft-gont-tcpm-icmp-attacks-03.txt" では "blind connection-reset" に分類しています。

PMTUDに対する攻撃

ホスト上で PMTUD が動作していた場合、細工された"fragmentation needed and DF bit set" ICMPメッセージにより Path MTU を 非常に小さな非現実的な値に設定することが出来ます。この時スループットが非常に低下するため、 コネクションが確立しているにも関わらず上位レイヤのプロトコルにおいてタイムアウトが発生する可能性があります。 この種の攻撃をインターネットドラフト "draft-gont-tcpm-icmp-attacks-03.txt" では "throughput-reduction"に分類しています。

RFC1191 の PMTUD アルゴリズムによると、その実装において学習した MTU は時間の経過とともに更新されなければなりません。 つまりMTUは時間の経過とともに最適値に戻りますが、それには最大１０分程度かかります（RFC 1191は１０分を推奨していますが要求事項ではなく、 従ってその値は実装に依存します）。しかしながら、もし細工された "Fragmentation needed and DF bit set" ICMP メッセージが 脆弱性を持つホストに継続的に送り続けられたなら、DoS 状態に陥るために学習した MTU が更新されることはありません。

前述の通り、もしホスト上で PMTUD が動作していなければ ICMP "Fragmentation needed and DF bit set" メッセージは "hard error" と見なされます。このため PMTUD 攻撃によりコネクションのリセットを引き起こす可能性もあります。

TCP のように分割のリスクを最小限にするためにトランスポート層の MTU と Maximum Segment Size (MSS)を 用いるプロトコルにおいては、コネクションが攻撃を受けているかどうかを判定する良い方法は このトランスポート層の MTU が非現実的なくらい小さな値に設定されているかどうかをモニターすることです。 シスコIOSにおいてこの手法を用いる例を本ドキュメントに後述します。

注：TCPを利用する多くのプロトコルは PMTUD 攻撃の影響を受ける可能性があります。 その例としては、BGP、Hyper Text Transfer Protocol (World Wide Web で使用されるHTTP)、 the Simple Mail Transfer Protocol (電子メイルで使用されるSMTP)、そして SSH (Secure Shell)があります。 Data-Link Switching (DLSw)、Serial Tunneling (STUN)、そして Block Serial Tunneling (BSTUN) といった IBM プロトコルセットにはトランスポートプロトコルにTCPを利用するように設定ができるものもあります。 Domain Name System (DNS)は通常 UDP を使いますが、ゾーン転送などでは UDP の代わりに TCP を使用します。

細工された "source quench" ICMP メッセージによる攻撃

前述のように、ICMP "source quench" メッセージを受け取ったホストはそれを生成したホストへの送信データレートを減少させます。 TCP/IPの実装や使用するトランスポート層プロトコルにより ICMP "source quench" メッセージに対するレスポンスは変わりますが、 一般的には ICMP "source quench" メッセージを受け取ったホストは輻輳回避アルゴリズムを起動するべきです。

TCPを使用するホストが ICMP "source quench" メッセージを受信した場合、 再送信タイムアウトが起きたかのようにスロースタートを起動することをRFC 1122は推奨しています。 RFC 2001 ("TCP Slow Start, Congestion Avoidance, Fast Retransmit, and Fast Recovery Algorithms" - http://www.ietf.org/rfc/rfc2001.txt)は近年のTCPの実装に用いられるスロースタートと輻輳回避アルゴリズムについて記述しており、実際にはスロースタートと輻輳回避アルゴリズムは共に実装されていると述べています。

より低レートでデータを送信すると、ICMP "source quench" メッセージを生成したホストは受信バッファが空きになるまで処理します。

"source quench" メッセージを更に受け取らなければ時間の経過とともにウィンドウ・サイズは合理的な値に戻りますが、 細工された "source quench" メッセージにより通信効率が劇的に低下する可能性があります。 もし攻撃者が繰り返し細工した "source quench" メッセージを送り続けたならコネクション上のサービスの低下が続くことになります。

この種の攻撃はインターネットドラフト "draft-gont-tcpm-icmp-attacks-03.txt" では "throughput-reduction" に分類しています。

シスコ製品への影響

本ドキュメントに記述されたICMPによる攻撃の影響はシスコ製品により異なります。製品によっては特別なコンフィグレーションやネットワーク・プロトコルを設定した時に影響を受けます。ここではシスコ製品がどのようにこの脆弱性の影響をうけるのか、及びその条件について記述します。また各製品の関連するBug IDについても述べます。

Cisco IOS

シスコIOSには ICMP "hard error" メッセージによる攻撃に対する脆弱性は存在しません。何故なら IOS はコネクションが "established" 状態かどうかのチェックを行い、"non-established"状態の時にのみ "hard error" メッセージに対する処理を行なうからです。

更に、シスコIOSは ICMP "source quench" メッセージを受け取っても処理しませんので、 細工された "source quench" メッセージによる攻撃に対する脆弱性も存在しません。

該当製品セクションで述べたように、IOS には PMTUD 攻撃に対する脆弱性が存在します。 すなわちICMP "Fragmentation needed and DF bit set" メッセージ（IPv6の場合には"packet too big" メッセージ）を細工することにより、 Path MTUを変えることが出来ます。以下に IOS の各プロトコルにおいて PMTUD の脆弱性に関連する Bug ID を示します。

• PMTUD を用いる全プロトコル: CSCef60659 （登録ユーザのみ） -- ICMP unreachableに対するより厳重なチェックが必要である。
  
• TCP over IPv4: CSCed78149 （登録ユーザのみ） -- IPv4 上で PMTUD を起動する TCP コネクションは細工された ICMP に対して脆弱である。
  
  コネクションが PMTUD 攻撃を受けているかどうかを判定する良い方法は、コネクションの MSS 値をチェックすることです。 次の例にあるように、BGP セッションに対しては、show ip bgp neighbors | include Data コマンドにより 最大データセグメント長を意味する MSS 値を表示します。
  

  Router#show ip bgp neighbors | include data segment
  Datagrams (max data segment is 1460 bytes):
  Router#

  理論上 MTU サイズの最小値は 68 バイトですが、今日のインターネットにおいては 576 バイト以下の MSS 値は疑わしいと考えるべきです。 RFC1191の7章にはインターネットで共通に用いられるMTUサイズがリストされています。 他の TCP コネクションに対しては、show tcp brief コマンドによってそのコネクションの TCB を特定し、 その TCB を用いた show tcp tcb <tcb identified with show tcp brief>| include data segment コマンドにより MSS 値を表示することが出来ます。
  

  Router#show tcp brief
  TCB       Local Address           Foreign Address        (state)
  00E97148  192.168.100.1.23        192.168.100.1.11002    TIMEWAIT
  00E97A78  192.168.100.1.23        192.168.100.1.11003    ESTAB
  00E975E0  192.168.100.1.11003     192.168.100.1.23       ESTAB
  Router#show tcp tcb 0x00E975E0 | include data segment
  Datagrams (max data segment is 1474 bytes):
  Router#

  この手法はTCP over IPv6においても適用可能です。
  
• TCP over IPv6: CSCef61610 （登録ユーザのみ） -- ICMPv6メッセージの処理の過ちのためTCPのパフォーマンスが低下する。
  
• IP Security: CSCsa59600 （登録ユーザのみ） --IOS IPSecコネクションは細工されたICMPパケットに対して脆弱であり、そのため特定フローのPMTUが非常に小さな値になることがある。 RFC1191によると、細工されたICMP "fragmentation needed and DF bit set"メッセージによりPMTUサイズが小さくなった後更にICMP "fragmentation needed and DF bit set"メッセージを受け取らなければ、一旦学習したMTUサイズは10分間有効でありその後PMTUは first-hopのデータリンクMTUサイズに戻されます。.
  
  IPSec トンネルが PMTUD 攻撃を受けているかどうかを調べるには、以下の例のように show crypto ipsec sa | include mtu コマンドを用いる方法があります。
  

  Router#show crypto ipsec sa | include mtu
    path mtu 1500, media mtu 1500
  Router#

• Generic Routing Encapsulation及び IPinIP: CSCef44699 （登録ユーザのみ） --GRE と IPIP トンネルは細工された ICMP パケットに対して脆弱です。GREとIPIPトンネルがPMTUD攻撃を受けているかどうかを調べるには、以下の例のように show interface tunnel <number> | include Path MTU コマンドを用いる方法があります。
  

  Router#show interface tunnel 0 | include Path MTU Path MTU
  Discovery, ager 10 mins, MTU 1476, expires never

トンネリングプロトコルの場合、 GRE や IPinIP パケットによって発生した ICMP error メッセージを適切に認証するのに十分な情報が含まれません。 そのため Cisco Bug ID　CSCef44699 （登録ユーザのみ）は GRE トンネルでの最小 Path MTU を使用者が指定できるコマンドを追加しました。新しいコマンドは tunnel path-mtu-discovery min-mtu<minimum MTU> で、Tunnel インターフェイス設定モードで利用可能です。このコマンドが設定されている場合に 機器が ICMP "fragmentation needed and DF bit set" メッセージを受信すると、設定された最小 Path MTU より広告された next-hop Path MTU が小さい場合、 機器は以下のログメッセージを生成します:


%TUN-5-IGNOREICMPMTU Tunnel1 ignoring received ICMP Type 3 Code 4,
　due to pmtud min-mtu setting

• Layer 2 Tunneling Protocol Version 2　とLayer 2 Tunneling Protocol Version 3: L2TPv3に対しては、CSCsa52807 （登録ユーザのみ） -- PMTUD を起動する L2TPv2 は細工された ICMP パケットに対して脆弱です。L2TPv3に対しては、CSCef43691（登録ユーザのみ） -- PMTUD を起動する L2TPv3 は細工された ICMP パケットに対して脆弱です。L2TPv2セッションがPMTUD攻撃を受けているかどうかを調べるには、以下の例のように show vpdn session all | include Session MTU コマンドを用いる方法があります。

Router#show l2tun session all | include Session MTU
　Session PMTU enabled, path MTU is 32 bytes
　Session PMTU enabled, path MTU is 32 bytes
　Session PMTU enabled, path MTU is 32 byte

L2TPv2 の場合、L2TPv2 パケットによって発生した ICMP error メッセージを適切に認証するのに十分な情報が含まれません。 そのため Cisco Bug ID　CSCsa52807 （登録ユーザのみ）は L2TPv2 トンネルでの最小および最大 Path MTU を使用者が指定できるコマンドを追加しました。新しいコマンドは vpdn pmtu minimum <minimum MTU> および vpdn pmtu maximum <maximum MTU> で、vpdn-group 設定モードで利用可能です。このコマンドが設定されている場合に 機器が ICMP "fragmentation needed and DF bit set" メッセージを受信すると、それが設定された最小および最大 Path MTU で設定された範囲外の next-hop Path MTU の場合、 機器は以下のログメッセージを生成します:

%VPDN-5-IGNOREICMPMTU Ignoring received ICMP Type 3 Code 4,
due to pmtu min or max setting

IOS XR

IOS XR には ICMP "hard error" メッセージによる攻撃と PMTUD への攻撃に対する脆弱性があります。 この脆弱性に関する Bug ID はCSCef45332（登録ユーザのみ） --CRS-1 コネクションは細工された ICMP パケットに対して脆弱です。IO-XRは ICMP "source quench" メッセージを処理しませんのでこのタイプの攻撃に対する脆弱性は存在しません。

Cisco IP Phones

いくつかのモデルの Cisco IP Phone には、ICMP "hard error" メッセージや ICMP "source quench" メッセージによる攻撃、 PMTUDへの攻撃に対する脆弱性が存在します。

• CSCef46728 （登録ユーザのみ） -- SCCP ファームウェアが動作する 7940/7960 IP Phone は細工された ICMP "hard error" メッセージに対して脆弱です。
  
• CSCef54947（登録ユーザのみ） -- SCCP ファームウェアが動作する 7970 IP Phone は細工された ICMP "hard error" メッセージに対して脆弱です
  
• CSCef54204（登録ユーザのみ） -- SIP ファームウェアが動作する 7940/7960 IP Phone は細工された ICMP "source quench" メッセージに対して脆弱です。 ただし SIP で動作する 7940/7960 IP Phone はシグナリング用に TCP を使用ないため、この脆弱性が該当するのは IP Phone への telnet セッションと IP Phone から（例えばディレクトリサーバーへ）の HTTP セッションに限られます。
  
• CSCef54206 （登録ユーザのみ） -- SIPファームウェアが動作する 7940/7960 IP Phone は細工された ICMP "hard error" メッセージに対して脆弱です。 ただしSIPで動作する 7940/7960 IP Phone はシグナリング用に TCP を使用しないため、この脆弱性が該当するのは IP Phone への telnet セッションと IP Phone から（例えばディレクトリサーバーへ）の HTTP セッションに限られます。

Cisco Secure PIX Security Appliance

RFC1191とRFC2401("Security Architecture for the Internet Protocol" - http://www.ietf.org/rfc/rfc2401.txt )に基づき、 IPSec を設定した PIX Security Appliance は積極的に PMTUD を行ないます。つまり ICMP "Fragmentation needed and DF bit set" メッセージを受信した際、 PIX Security Appliance は特定の IPSec フロー上の Path MTU を動的に学習・調整します。

従って PIX Security Appliance は Path MTU を非常に小さな値に設定しようとする細工された ICMP Type 3、Code 4 メッセージに対して脆弱です。 この脆弱性はBug ID CSCef57566（登録ユーザのみ）-- IPSecを設定したPIX Security Applianceは、パスやSAに対して非常に小さなPMTUを提示する 細工された ICMP パケットに対して脆弱である -- に記述されています。この現象は IPSec にて PMTUD が動作している場合に発生しますが、 PIX の場合にはIPSecを設定すると PMTUD は自動的にイネーブルになります。

Catalyst 6608 and 6624

Digital PRY Gateway、Conference Bridge、Transcoder/MTP firmware が動作する Cisco Catalyst 6000 Voice E1/T1 and Services Module (WS-X6608-E1 および WS-X6608-T1) 、Cisco Catalyst 6000 FXS Analog Interface Module (WS-X6624-FXS) は ICMP "hard error" および "source quench" メッセージによる攻撃に対する脆弱性が存在します。
これらの脆弱性は Cisco Bug ID CSCsa60692（登録ユーザのみ) -- ICMP Hard error handling. にドキュメントされています。

Cisco 11000、11500 Content Services Switches

マネージメントポートにおいて、シスコ11000、11500 Content Service Switchは ICMP "source quench" メッセージによる攻撃に対して脆弱性が存在します。 CSS は PMTUD を実行しませんので PMTUD 攻撃に対しては脆弱ではありません。 ICMP "source quench" メッセージの脆弱性は BugID CSCeh45454（登録ユーザのみ） -- ICMP　エラーパケットによるTCPへの攻撃　--　に記述されています。

Cisco Global Site Selector

バージョン 1.2 およびそれ以前の Cisco Global Site Selector には ICMP "source quench" メッセージに対する脆弱性が存在します。
Global Site Selector は ICMP "hard error" メッセージによる攻撃と PMTUD 攻撃に対して脆弱ではありません。
ICMP "source quench" メッセージの脆弱性は BugID CSCeh20083 （登録ユーザのみ) -- ICMP エラーパケットによる TCP への攻撃 -- に記述されています。

Cisco MDS9000 シリーズ Multilayer Switches

Cisco MDS9000 シリーズ Multilayer Switch には PMTUD攻撃に対して脆弱性が存在します。 この脆弱性はBug ID CSCeh04183（登録ユーザのみ ) -- TCPに対するICMPの攻撃 -- に記述されています。

Cisco ONS Products

Cisco ONS 製品は PMTUD 攻撃に関してのみ脆弱性があります。

VPN 5000 Concentrator

VPN 5000 ConcentratorはPMTUD攻撃に関して脆弱性があります。ICMP "source quench" メッセージはメッセージカウントを保持するために処理しますが輻輳回避の処理は行わないため、 VPN 5000 ConcentratorはICMP "source quench" メッセージによる攻撃に対して脆弱性はありません。 PMTUD 攻撃の脆弱性はBug ID CSCeh59823（登録ユーザのみ )-- ICMP 3/4メッセージは IPSec セッションに影響する -- に記述されています。

影響

細工されたICMP "hard error" メッセージによる攻撃のためにコネクションが切断されることがあります。

"Fragmentation needed and DF bit set" メッセージ(あるいは PMTUD攻撃)および ICMP "source quench" エラーメッセージのために コネクションのスループットが非常に低下する事があります。スループットが低下した場合にはホストの送信バッファのオーバーフローやパケットロスが発生したり、 あるいは必要以上にフラグメンテーションが起こりアプリケーションの通信効率に影響することがあります。 従って、細工された ICMP パケットにより Border Gateway Protocol（BGP)、Label Distribution Protocol (LDP) や Data-Link Switching (DLSw) といった ネットワークプロトコルに影響をおよぼす可能性があります。

スループットの低下に加え、PMTUD 攻撃を受けるとフラグメント化されたパケットの再構成のために余計に時間とメモリを消費するため、 CPU 使用率やメモリ消費量が増大する可能性があります。

これらのケースでは攻撃を受けた結果 DoS 状態となりますが、この攻撃のためにリモートによるコードの実行や認可されないアクセスを引き起こすことはありません。

ソフトウェアバージョンおよび修正

ソフトウェアアップグレードをご検討される際には、以下も併せてご参照ください。 http://www.cisco.com/en/US/products/products_security_advisories_listing.html また、後続のアドバイザリもご参照ください。

製品がアップグレードに必要なメモリを実装しているか、 現行のハードウェアとソフトウェアの構成が新リリースでもサポートされているか を十分ご確認ください。ご不明な点がありましたら、Cisco Technical Assistance Center (TAC) までご連絡ください。 IOS XR ソフトウエアをご利用いただいているお客様で修正ソフトウェアが必要な場合は Cisco TAC までご連絡ください。

IOS 製品

以下の Cisco IOS ソフトウェアの表の各行は、対象となるリリーストレイン、プラットフォームおよび 製品群を示します。あるリリーストレインが脆弱である場合、修正が組み込まれている最も早いリリース （最初に修正されたリリース）とそれが利用可能となる予定日が "Rebuild" and "Maintenance" の列に 示されます。リリーストレインで示されたリリースより前のものを使用している機器は脆弱であることが知られています。 使用するリリースは少なくとも示されたリリース以降へアップグレードすることが推奨されます。

"Rebuild" および "Maintenance" の用語に関する情報は以下をご参照ください。

http://www.cisco.com/warp/public/620/1.html

ソフトウェアが利用可能になる予定が異なることや、Cisco IOS が脆弱であるフィーチャーの条件が 異なるために、最初に修正されたリリースの表は脆弱性の影響を受ける各テクノロジーごとに分割されています。 以下の４つのグループがあります。

1. TCPv4: CSCed78149 （登録ユーザのみ ) は TCP の PMTUD 攻撃に対する脆弱性に関して 管理する Cisco Bug ID です。
   
2. トンネル:CSCef60659 （登録ユーザのみ ), CSCef43691 （登録ユーザのみ ), CSCsa61864（登録ユーザのみ ), CSCsa59600 （登録ユーザのみ ), and CSCef44699 （登録ユーザのみ ). は影響を受けるトンネリングプロトコル の多く（GRE、L2TPv3 および IPSec) の脆弱性を管理する Cisco Bug ID です。
   
3. TCPv6: CSCef61610 （登録ユーザのみ ),は IPv6 上で稼動する TCP の PMTUD 攻撃に対する脆弱性を管理する Cisco Bug ID です。
   
4. L2TPv2: CSCsa52807 （登録ユーザのみ ), は L2TPv2 の PMTUD 攻撃に対する脆弱性を管理する Cisco Bug ID です。