Informational
Informational
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
このドキュメントは、Lee E. Rianによって発見され、シスコに報告されたCisco Catalyst 6500およびCisco 7600シリーズデバイスに関する問題に対するCisco PSIRTの回答です。
元のレポートは、完全な公開メーリングリストに投稿されました。
Cisco PSIRTは、研究者と協力してセキュリティの脆弱性に関する研究を行う機会を非常に高く評価しており、製品レポートのレビューと支援を行う機会を歓迎しています。
この脆弱性は、Cisco Bug ID CSCek49649 (登録ユーザ専用)に記載されています
このCisco Security Responseは、次のリンクから入手できます。https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20070926-lb
追加情報
Cisco Catalyst 6500およびCisco 7600シリーズのデバイスは、内部通信にイーサネットアウトオブバンドチャネル(EOBC)の127.0.0.0/8(ループバック)範囲のアドレスを使用します。
Cisco Catalyst 6500およびCisco 7600シリーズデバイスのEOBCで使用されるこの範囲のアドレスには、システムの外部からアクセスできます。スーパーバイザモジュール、マルチレイヤスイッチフィーチャカード(MSFC)、またはその他のインテリジェントモジュールは、127.0.0.0/8ネットワーク宛てのパケットを受信して処理する場合があります。攻撃者はこの動作を不正利用して、127.0.0.0/8アドレス範囲をフィルタリングしない既存のアクセスコントロールリスト(ACL)をバイパスする可能性があります。ただし、この不正利用により攻撃者は認証や認可をバイパスできなくなります。認証が必要なモジュールにアクセスし、そのモジュール用に設定するには、有効な認証クレデンシャルが引き続き必要です。
RFC 3330によると、127.0.0.0/8アドレス範囲内の任意のアドレスに送信されるパケットは、ホスト内でループバックし、物理ネットワークに到達することはありません。ただし、一部のホスト実装では、ネットワークインターフェイスカード(NIC)の範囲外にある127.0.0.0/8の範囲のアドレスとネットワークにパケットを送信します。通常は127.0.0.0/8の範囲のアドレスにパケットを送信しない特定の実装でも、これを行うように設定できます。
127.0.0.0/8の範囲の宛先アドレスは、インターネット上ではルーティングされません。この要因により、この問題の発生が制限されます。
この問題は、ハイブリッドモード(スーパーバイザエンジンでCatalyst OS(CatOS)ソフトウェア、MSFCでIOSソフトウェア)とネイティブモード(スーパーバイザエンジンとMSFCの両方でIOSソフトウェア)が稼働しているシステムに該当します。
この問題は、Cisco Bug ID CSCek49649 (登録ユーザ専用)に記述されています。Cisco Catalyst 6500およびCisco 7600シリーズデバイスで稼働するすべてのソフトウェアバージョンが影響を受けます。修正は12.2(33)SXHで利用可能です。
回避策として、127.0.0.0/8アドレス範囲へのパケットをフィルタリングするアクセスコントロールリスト(ACL)を、攻撃を開始する可能性のあるインターフェイスに適用できます。
ip access-list extended block_loopback deny ip any 127.0.0.0 0.255.255.255 permit ip any any interface Vlan x ip access-group block_loopback in
Control Plane Policing(CoPP)を使用すると、デバイスに送信される宛先IPアドレスが127.0.0.0/8の範囲にあるトラフィックをブロックできます。CoPP機能は、Cisco IOSソフトウェアリリース12.0S、12.2SX、12.2S、12.3T、12.4、および12.4Tでサポートされています。デバイスに CoPP を設定して管理プレーンおよびコントロール プレーンを保護すると、インフラストラクチャへの直接攻撃のリスクと有効性を最小限に抑えることができます。CoPPは、既存のセキュリティポリシーと設定に従って、インフラストラクチャデバイスに送信される許可されたトラフィックだけを明示的に許可することによって、管理プレーンとコントロールプレーンを保護します。
!-- Permit all traffic with a destination IP !-- addresses in the 127.0.0.0/8 address range sent to !-- the affected device so that it will be policed and !-- dropped by the CoPP feature ! access-list 111 permit icmp any 127.0.0.0 0.255.255.255 access-list 111 permit udp any 127.0.0.0 0.255.255.255 access-list 111 permit tcp any 127.0.0.0 0.255.255.255 access-list 111 permit ip any 127.0.0.0 0.255.255.255 ! !-- Permit (Police or Drop)/Deny (Allow) all other Layer3 !-- and Layer4 traffic in accordance with existing security !-- policies and configurations for traffic that is authorized !-- to be sent to infrastructure devices ! !-- Create a Class-Map for traffic to be policed by the !-- CoPP feature ! class-map match-all drop-127/8-netblock-class match access-group 111 ! !-- Create a Policy-Map that will be applied to the !-- Control-Plane of the device. ! policy-map drop-127/8-netblock-traffic class drop-127/8-netblock-class police 32000 1500 1500 conform-action drop exceed-action drop ! !-- Apply the Policy-Map to the Control-Plane of the !-- device ! control-plane service-policy input drop-127/8-netblock-traffic !
CoPP 機能の設定と使用方法についての詳細は、次のリンク先で確認できます。
http://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gtrtlimt.html
インフラストラクチャアクセスコントロールリスト(iACL)もネットワークセキュリティのベストプラクティスと考えられており、この特定の問題の回避策としてだけでなく、効果的なネットワークセキュリティへの長期的な追加として考慮する必要があります。ホワイトペーパー『Protecting Your Core: Infrastructure Protection Access Control Lists』では、インフラストラクチャ保護ACLのガイドラインと推奨される導入方法について説明しています。このホワイトペーパーは、次のリンクから入手できます。
http://www.cisco.com/warp/public/707/iacl.html
ネットワーク内のCiscoデバイスに適用可能な他の緩和策については、この応答に関連するCisco適用対応策速報を参照してください。
シスコのセキュリティ手順
シスコ製品のセキュリティの脆弱性に関するレポート、セキュリティ障害に対する支援、およびシスコからのセキュリティ情報を受信するための登録に関するすべての情報は、シスコのワールドワイド ウェブサイト https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html から入手できます。この情報には、シスコのセキュリティ通知に関して、報道機関が問い合せる場合の説明も含まれています。すべての Cisco セキュリティ アドバイザリは、http://www.cisco.com/go/psirt から入手できます。
URL
改訂履歴
バージョン | 説明 | セクション | 日付 |
リビジョン 1.2 |
バグIDをCSCek49649に変更。修正済みソフトウェアは変更されません。 |
2008年2月20日 |
|
リビジョン 1.1 |
「追加情報」セクションを改訂。 |
2007年9月28日 |
|
リビジョン 1.0 |
初回公開リリース |
2007年9月26日 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。