Cisco uBR10012シリーズデバイスのSNMP脆弱性

Cisco uBR10012シリーズデバイスは、ラインカードの冗長性を設定する場合、RFスイッチと通信する必要があります。この通信は、SNMP(Simple Network Management Protocol)に基づいています。 Cisco uBR10012シリーズデバイスでラインカードの冗長性を有効にすると、SNMPも、読み取り/書き込み権限を持つデフォルトのコミュニティストリングprivateで自動的に有効になります。このコミュニティストリングにはアクセス制限がないため、攻撃者によって悪用され、デバイスを完全に制御できるようになる可能性があります。

デフォルトのコミュニティストリングを変更するか、SNMPにアクセス制限を追加するか、またはその両方を行うことで、この脆弱性を軽減できます。推奨される緩和策は、両方を実行することです。

この脆弱性は、Cisco Bug ID CSCek57932 (登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2008-3807が割り当てられています。

SNMPコミュニティストリングの変更とアクセスの制限

デフォルトでは、ラインカードの冗長性が設定されているCisco uBR10012シリーズデバイスは、privateというコミュニティストリングを使用します。このコミュニティストリングは、Cisco IOSバージョン12.3(13)BC以降で変更できます。コミュニティストリングを変更し、許可されたデバイスのみにデバイスへのSNMPアクセスを許可するアクセスコントロール制限を適用することを推奨します。

次の設定例は、コミュニティストリングの変更と、アクセスコントロールリスト(ACL)を使用したSNMPアクセスコントロール制限の追加に関する情報をオペレータに提供します。

access-list 90 permit host <RF-Switch-IP-1>
access-list 90 permit host <RF-Switch-IP-2>
access-list 90 permit host <up-converter-IP-if-exists>
access-list 90 deny any

redundancy
  linecard-group 1 cable
    rf-switch snmp-community <RF-Switch-SNMP-community>

snmp-server community <RF-Switch-SNMP-community> rw 90

Cisco uBR10012デバイスでSNMPコミュニティを変更する場合は、RFスイッチでも変更する必要があります。これは、次のコマンドで変更できます。

set SNMP COMMUNITY <RF-Switch-SNMP-community>

ネットワーク内にアップコンバータがある場合は、Cisco uBR10012デバイスのコミュニティストリングを変更した後で、アップコンバータで使用されるSNMPコミュニティも変更する必要があります。アップコンバータで使用されるコミュニティストリングの変更については、次のリンクを参照してください。

http://www.cisco.com/en/US/tech/tk86/tk804/technologies_tech_note09186a00801f7622.shtml#communication

Cisco IOSバージョンがコミュニティストリングの変更をサポートしていない場合は、アクセスコントロール制限をデフォルトコミュニティストリングに適用できます。次の設定例は、デフォルトのコミュニティストリングへのアクセス制御制限の適用に関する情報をオペレータに提供します。

access-list 90 permit host <RF-Switch-IP-1>
access-list 90 permit host <RF-Switch-IP-2>
access-list 90 permit host <up-converter-IP-if-exists>
access-list 90 deny any

snmp-server community private rw 90

ネットワーク境界でのインフラストラクチャACLの使用

ネットワークを通過するトラフィックをブロックするのは往々にして困難ですが、インフラストラクチャデバイスを宛先とすべきでないトラフィックを特定し、ネットワークの境界でそのトラフィックをブロックすることは可能です。iACLはネットワークセキュリティのベストプラクティスであり、ここでの特定の脆弱性に対する回避策であると同時に、優れたネットワークセキュリティを長期間追加する手段としても考慮する必要があります。次に示すiACLの例は、インフラストラクチャIPアドレスの範囲内にあるIPアドレスを持つすべてのデバイスを保護するために配備されたインフラストラクチャアクセスリストの一部として含める必要があります。

!-- Permit SNMP (UDP port 161) packets from trusted hosts
!-- destined to infrastructure addresses.

!
access-list 150 permit udp TRUSTED_HOSTS MASK INFRASTRUCTURE_ADDRESSES MASK eq 161
!

!-- Deny SNMP (UDP port 161) packets from all other sources
!-- destined to infrastructure addresses.

!
access-list 150 deny udp any INFRASTRUCTURE_ADDRESSES MASK eq 161
!

!-- Permit/deny all other Layer 3 and Layer 4 traffic in
!-- accordance with existing security policies and
!-- configurations.

!

!-- Permit all other traffic to transit the device.

!
access-list 150 permit ip any any
!

!-- Apply iACL to interfaces in the ingress direction.

!
interface GigabitEthernet0/0
  ip access-group 150 in
!

ホワイトペーパー『Protecting Your Core: Infrastructure Protection Access Control Lists』では、インフラストラクチャ保護アクセスリストに関するガイドラインと推奨される導入方法が説明されています。この White Paper は次のサイトで提供されています。

http://www.cisco.com/en/US/tech/tk648/tk361/technologies_white_paper09186a00801a1a55.shtml

その他の緩和策

ネットワーク内部のCiscoのデバイスに展開できる追加の緩和テクニックについては、このアドバイザリに関連するCisco適用対応策速報を参照してください。このドキュメントは、次のリンクから入手できます。

https://sec.cloudapps.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20080924-ipc-and-ubr

アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center（TAC）または契約を結んでいるメンテナンス プロバイダーにお問い合せください。

Cisco IOS ソフトウェアの表（下掲）の各行には、Cisco IOS のリリース トレインが記載されています。特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース（および、それぞれの予想提供日）が表の「第 1 修正済みリリース」列に記載されます。「推奨リリース」列には、このアドバイザリが作成された時点で発表されているすべての脆弱性の修正を含むリリースが記載されます。特定の列に記されているリリースよりも古い（第 1 修正済みリリースより古い）トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。表の「推奨リリース」列に記載されているリリース、またはそれよりも新しいリリースにアップグレードすることを推奨します。

Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。

この脆弱性はシスコ内部で発見されました。