H.323メッセージ処理の脆弱性

複数のシスコ製品に、H.323メッセージの処理に関する脆弱性が存在します。これらのメッセージは通常、Voice over Internet Protocol(VoIP)またはマルチメディアアプリケーションで使用されます。このプロトコルを対象とし、脆弱性を特定するために、オウル大学によって開発されたテストスイートがあります。

H.323プロトコルのサポートは、Cisco IOS^®ソフトウェアリリース11.3Tで導入されました。ソフトウェアに音声/マルチメディアアプリケーションのサポートが含まれている場合、リリース11.3T、およびそれ以降のすべてのCisco IOSリリースが影響を受ける可能性があります。脆弱性が存在するデバイスには、ネットワーク要素としてH.323のソフトウェアサポートが含まれているものや、IOS Network Address Translation（NAT；ネットワークアドレス変換）用に設定されているものや、IOS Firewall（別名Context-Based Access Control [CBAC]）用に設定されているものがあります。

Cisco IOSを実行していない他のCisco音声製品も影響を受ける可能性があります。

これらの脆弱性が繰り返し悪用されると、サービス拒否(DoS)が発生する可能性があります。

このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20040113-h323で確認できます。

このセクションには、該当製品に関する詳細が掲載されています。

H.323は、パケットベース(IP)ネットワークを介したリアルタイムマルチメディア通信および会議の国際電気通信連合(ITU)標準です。H.323標準のサブセットはH.225.0で、コールシグナリングプロトコルとIPネットワーク上のメディアストリームのパケット化に使用される標準です。

H.225.0標準は、抽象構文記法1(ASN.1)を使用して、コール設定、コール制御、および通信のメッセージ形式を定義します。ISDNネットワークでのコールシグナリング用に開発されたITU標準Q.931は、H.225.0内のコールセットアップメッセージの標準としても使用されます。

University of Oulu Secure Programming Group(OUSPG)は、H.323メッセージ、具体的にはH.225.0およびQ.931メッセージのテストスイートを作成し、H.323メッセージの処理における脆弱性の予防的な検出と解決をサポートしています。テストスイートは通常、プロトコルを分析し、プロトコルの実装内のさまざまな設計制限をプローブするメッセージを生成するために使用されます。H.323プロトコルデータユニット(PDU)のさまざまなフィールドに過度に長いまたは例外的な要素を含むテストパケットは、プログラムによって生成され、テスト対象のネットワークデバイスに送信されます。H.323用のPROTOSテストスイートは配布されており、約4500の個別のテストケースが含まれています。

H.323対応のOUSPG PROTOS Test Suiteを使用すると、該当製品で発見された脆弱性を簡単かつ繰り返し実証できます。このアドバイザリで説明されている脆弱性の最大のグループは、該当システムで受信および処理されるH.225.0メッセージの不十分なチェックによるものです。該当システムが受信した不正なH.225.0メッセージにより、さまざまな解析および処理機能が失敗し、ほとんどの状況でシステムクラッシュおよびリロード（またはリブート）が発生する可能性があります。

通常、H.323ネットワーク要素は、ポート1720でUDPとTCPの両方のトランスポートにコールシグナリングを実装します。OUSPGからのH.323テストスイートは、デフォルトではポート1720でのTCP実装のみをテストします。

Cisco IOS

H.323ダイヤルピアエンドポイントとして機能するデバイスに対するCisco IOSの脆弱性は、次のBug IDで文書化されています。CSCdt09262(登録ユーザ専用)、CSCdt54401（登録ユーザ専用）、CSCdw14262(登録ユーザ専用)、CSCdx76632（登録ユーザ専用）、CSCdx77253 CSCea19885（登録ユーザ専用）、CSCea32240（登録ユーザユーザ専用）、CSCea36231 CSCea33065（登録ユーザユーザ専用）、CSCea42826 （登録ユーザのみ）、CSCea42527（登録ユーザのみ）、CSCea44227（登録ユーザのみ）、CSCea44309（登録ユーザのみ）、CSCea46342（登録ユーザのみ）、CSCec79541（登録ユーザのみ）。

プロキシが設定されたH.323ゲートキーパーとして機能するCisco IOSデバイスについては、脆弱性は次のBug IDで文書化されています。CSCea51076(登録ユーザ専用)、CSCea51030(登録ユーザ専用)、およびCSCea54851(登録ユーザ専用)。

H.323 v3/4トラフィックでNAT変換を実行するCisco IOSデバイスには脆弱性が存在する可能性があります。12.2Tに基づくリリースでは、12.2(11)T以降に基づくバージョンのIOSが稼働しており、隠しコマンドip nat service h323allが有効になっている必要があります。このコマンドのデフォルトの条件は無効です。12.1および12.1Eに基づくリリースでは、デバイスは外部インターフェイスから内部インターフェイスに送信されるパケットに対してのみ脆弱です。つまり、ネットワークは、スタティック変換が設定され、ポート1720への接続を受け入れる場合にのみ脆弱になります。ポート1720でダイナミック変換を実行できますが、攻撃トラフィックは元のフローの宛先アドレスから戻る必要があり、変換がアクティブな間はルータを通過する必要があります。ダイナミック変換の危険を減らす方法については、「回避策」のセクションを参照してください。

IOS 12.1以降のH.323パケットでNATを実行するデバイスに対するCisco IOSの脆弱性は、次のBug IDで文書化されています。CSCdr48143(登録ユーザ専用)、CSCdx40184(登録ユーザ専用)、CSCea27536(登録ユーザ専用)、CSCec76694 CSCed28873(登録ユーザユーザ専用)。

12.1以降のIOSでH.323パケットのディープパケットインスペクションを実行するIOSファイアウォールフィーチャセットを実行しているデバイスに対するCisco IOSの脆弱性は、次のBug IDで文書化されています。CSCec76776(登録ユーザ専用)およびCSCec87533(登録ユーザ専用)。

Cisco CallManager

Cisco CallManagerの脆弱性は、Bug ID CSCdx82831（登録ユーザ専用）、CSCea46545(登録ユーザ専用)、およびCSCea55518(登録ユーザ専用)に記載されています。

3.1または3.2を実行しているCisco CallManagerが脆弱であるためには、発信側デバイスのIPアドレスがCallManagerのH.323ゲートウェイ、H.323クライアント、またはクラスタ間トランクとして設定されているか、CallManager設定のゲートキーパーセクションで「匿名コールを許可」が有効になっている必要があります。H.225.0デバイスとして設定されていないデバイスからH.323メッセージをCallManagerが受信すると、H.225.0メッセージが処理される前にTCPセッションが閉じられます。ゲートキーパー設定で「匿名コールを許可」が有効になっている場合、CallManagerサーバは発信元ソースからのH.225.0メッセージを解析しようとするため、脆弱です。

CallManager 3.3では、サーバは脆弱で、任意の発信元ソースから受信したH.225.0メッセージの解析を試みますが、CallManagerがTCP 1720以外のポートでリッスンしている可能性があります。匿名コールのポート番号はTCP 1720以外の番号であるため、潜在的な攻撃者は攻撃を成功させるために、CallManager H.323ゲートウェイがどのランダムポートをリッスンしているかを判断する必要があります。

Cisco Conference Connection

Cisco Conference Connection(CCC)のすべてのバージョンが影響を受けます。現在、Cisco Conference Connection(CCC)に対するソフトウェア修正は計画されていません。CCCを実行しているお客様は、信頼できるホストからのH.323トラフィックのみを制限する回避策を実装する必要があります。この問題の回避策は「回避策」セクションで説明されています。

Cisco Internet Service Node

すべてのバージョンのInternet Service Node(ISN)が影響を受けます。現在、Cisco Internet Service Node(ISN)に対するソフトウェア修正は計画されていません。ISNを実行しているお客様は、信頼できるホストからのH.323トラフィックのみを制限する回避策を実装する必要があります。この問題の回避策は「回避策」セクションで説明されています。

Cisco 7905シリーズIP Phone

Cisco 7905 IP Phoneの脆弱性は、Bug ID CSCec77152(登録ユーザ専用)に記載されています。

Cisco ATA18xシリーズアナログテレフォニーデバイス

Cisco ATA18xデバイスの脆弱性は、Bug ID CSCea46231（登録ユーザ専用）、CSCea48726(登録ユーザ専用)、およびCSCef42352(登録ユーザ専用)に記載されています。

Cisco BTS 10200 Softswitch

Cisco BTS 10200ソフトスイッチの脆弱性は、Bug ID CSCea48755(登録ユーザ専用)に記載されています。

H.323エンドポイントおよびプロキシ設定の回避策

H.323を実行する必要がある該当デバイスには脆弱性が存在し、これらを保護するために使用できる特定の設定はありません。H.323トラフィックを受け入れないインターフェイスにアクセスリストを適用し、ファイアウォールを戦略的な場所に配置することで、アップグレードが実行できるまでのリスクを大幅に軽減できる可能性があります。

『Voice over IP SAFE』のホワイトペーパーでは、音声ネットワークをインターネットから隔離するためのベストプラクティスについて説明しています。これによりリスクが軽減されますが、ローカルネットワーク内からの攻撃は常に潜在的なリスクと見なす必要があります。

http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns128/networking_solutions_white_papers_list.html

許可されたネットワーク以外の場所からのH.323管理トラフィックをブロックするアクセスリストの例を次に示します。この例では、許可ネットワークは172.16.0.0/16です。

!--- Permit access from any IP address in the 172.16.0.0/16 
!--- network to anywhere on port 1720.

access-list 101 permit tcp 172.16.0.0 0.0.255.255 any eq 1720

!--- Permit access from anywhere to a host in the 
!--- 172.16.0.0/26 network on port 1720.
 
access-list 101 permit tcp any 172.16.0.0 0.0.255.255 eq 1720

!--- Deny all traffic from port 1720.

access-list 101 deny tcp any eq 1720 any

!--- Deny all traffic to port 1720.

access-list 101 deny tcp any any eq 1720

!--- Permit all other traffic.

access-list 101 permit ip any any

H.323トラフィックでNATを実行するIOSデバイスの回避策

該当するバージョンの12.1または12.1Eコードが稼働し、スタティックNATを実行するように設定されているCisco IOSデバイスは、デバイスを介してNATによって処理される破損パケットによる攻撃に対して脆弱です。このような状況でリスクを軽減または削除する方法はいくつかあります。

• 外部インターフェイスのアクセスリスト
  H.323ディープパケットインスペクションは、送信元または宛先ポートが1720のパケットでのみ実行されます。これらのパケットを変換したり受け入れたりする必要がない場合は、ファイアウォールなどの外部デバイスか、NATを実行しているデバイスの外部インターフェイスに適用された入力アクセスリストによって、これらのパケットをブロックできます。
  

  interface serial 0/0
   ip nat outside 
  
   !--- This is used to indicate which interface 
   !--- this configuration should be applied to.
  
   ip access-group 101 in
  !
  access-list 101 deny tcp any eq 1720 any
  access-list 101 deny tcp any any eq 1720
  access-list 101 permit ip any any

• スタティックNAT変換でポート1720トラフィックをブロックするポリシーベースルーティング
  シンプルなスタティック変換により、任意のポートでトラフィックの通過が可能です。スタティックNAT設定でH.323トラフィックを許可する必要がないものの、外部インターフェイスにアクセスリストを適用することが現実的でない場合は、ポリシーベースルーティング(PBR)を使用して、ポート1720宛てのトラフィックを再ルーティングできます。ポリシーベースルーティングはNATの前に処理されます。
  この例では、アドレス1.0.0.5は、ルータがローカルネットワークアドレスにNATを実行している外部ルーティング可能なアドレスです。
  

  interface Null0
       no ip unreachables
      !
      interface Ethernet0/0
       ip address 10.0.0.8 255.255.255.0
       ip nat inside
      !
      interface Ethernet0/1
       ip address 11.0.0.8 255.255.255.0
       ip nat outside
       ip policy route-map block-h323
  
      ip nat inside source static 10.0.0.5 1.0.0.5
  
      access-list 102 permit tcp any host 1.0.0.5 eq 1720
      access-list 102 permit tcp any eq 1720 host 1.0.0.5
  
      route-map block-h323 permit 10
       match ip address 102
       set interface Null0

• ダイナミック変換を使用してポート1720をブロックする
  ダイナミック変換は、オープン変換を通過する元のフローの外部アドレスからの攻撃に対して脆弱ですが、ip nat translation port-timeout tcp 1720 2コマンドを使用すると、エクスポージャのリスクを減らすために迅速にタイムアウトすることができます。これにより、ポート1720の変換が2秒でタイムアウトし、必要なコールセットアップ要求を処理するには短すぎる可能性があります。
  NATは、アクセスリストの代わりにルートマップを使用してトラフィックを照合することにより、ポート1720を送信元または宛先とするトラフィックを変換しないように設定できます。次に示す設定例では、送信元ポートまたは宛先ポートが1720のトラフィックを除き、10.0.0.0/24ネットワークから送信されたトラフィックをNATプール「h323-test」内のアドレスに変換することを許可しています。
  

  注：これにより、ユーザはNetMeetingなどのPCデスクトップからH.323対応アプリケーションに対してNATを使用できなくなります。この種の回避策を適用する際には、ネットワークと、ネットワークで使用されているアプリケーションを理解することが重要です。

  interface Ethernet0/0
       ip address 10.0.0.8 255.255.255.0
       ip nat inside
      !
      interface Ethernet0/1
       ip address 11.0.0.8 255.255.255.0
       ip nat outside
  
      ip nat pool h323-test 1.0.0.5 1.0.0.15 prefix-length 24     
      ip nat inside source route-map h323-block pool h323-test   
  
      access-list 101 deny   tcp any any eq 1720
      access-list 101 deny   tcp any eq 1720 any      
      access-list 101 permit ip host 10.0.0.0 0.0.0.255 
  
      route-map h323-block permit 10
       match ip address 101

ローカルで信頼できるホストからのH.323トラフィックを制限するためのWindowsベースのアクセスコントロールリストの定義

IPSec-H323.exeという名前の実行可能ファイルがあります。このファイルには、Microsoft Windows 2000ベースのサーバのアクセスリストの設定に役立つスクリプトが含まれています。

http://www.cisco.com/pcgi-bin/tablebuild.pl/cmva-3des?psrtdcat20e2

この回避策は、Cisco Conference Connection(CCC)とInternet Service Node(ISN)の両方で動作することがテストされており、潜在的に有害なH.323パケットをブロックします。スクリプトの詳細については、上記のリンクから入手可能なIPSec-H323-Readme.htmファイルを参照してください。

Cisco IOS ソフトウェア

表の各行に、リリース群、および対象のプラットフォームまたは製品を示します。特定のリリーストレインに脆弱性が存在する場合は、修正を含む最初のリリースとそれぞれの提供予定日が「Rebuild」、「Interim」、および「Maintenance」の各列に表示されます。場合によっては、特定のリリースのリビルドが計画されていない場合があります。この場合、「Not scheduled」というラベルが付きます。 特定の列のリリースより前（最初の修正リリースより前）のトレインのリリースを実行しているデバイスは脆弱であることが確認されており、少なくとも示されたリリースまたは以降のバージョン（最初の修正リリースのラベルより後）にアップグレードする必要があります。

リリースを選択する際には、次の定義に注意してください。

• メンテナンス
  表の特定の行にあるラベルの、最も頻繁にテストされ、推奨されるリリース。
  
• リビルド
  以前のメンテナンスリリースまたはメジャーリリースから同じトレインで構築されており、特定の脆弱性に対する修正が含まれています。テストの回数は少なくなりますが、修復に必要な最小限の変更のみが含まれています。シスコでは、この脆弱性に対処するためにメインライントレインのリビルドを数種類提供していますが、最新のメンテナンスリリースのみをメインライントレインで実行することを強く推奨します。
  
• Interim
  メンテナンスリリース間で定期的に構築され、テストの頻度が少ない暫定イメージは、脆弱性に対処する適切なリリースが他にない場合にのみ選択し、可能な限り早急に次のメンテナンスリリースにアップグレードする必要があります。暫定リリースは製品としては提供されず、通常は、Cisco Technical Assistance Center（TAC）によって事前に手配されない限り、CCO からダウンロードできません。
  

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報が不明な場合は、次の表に示すように、Cisco TACに連絡して支援を求めてください。

注：  次の表の目的に従い、ID「Element」には、H.323エンドポイントとして動作するIOSデバイスと、プロキシが設定されたゲートキーパーに対する修正が含まれています。

Cisco ソフトウェア - 非IOS

すべての場合において、アップグレードするデバイスに十分なメモリが実装されており、現在のハードウェアおよびソフトウェアの構成が新しいソフトウェア リリースでも適切にサポートされていることを確認する必要があります。情報が明確でない場合は、「修正済みソフトウェアの取得」セクションに示されているように、Cisco TACに連絡して支援を求めてください。

• Cisco CallManager
  

  Cisco CallManager のバージョン	最初の修正済み定期リリース
  3.1	3.1(4b)spD
  3.2	3.2(3)
  3.3	3.3(2)spC 3.3(3)

• Cisco Conference Connection
  現在、Cisco Conference Connection(CCC)に対するソフトウェア修正は計画されていません。CCCを実行しているお客様は、信頼できるホストからのH.323トラフィックのみを制限する回避策を実装する必要があります。この問題の回避策は「回避策」セクションで説明されています。
  
• Cisco Internet Service Node
  現在、Cisco Internet Service Node(ISN)に対するソフトウェア修正は計画されていません。ISNを実行しているお客様は、信頼できるホストからのH.323トラフィックのみを制限する回避策を実装する必要があります。この問題の回避策は「回避策」セクションで説明されています。
  
• Cisco 7905シリーズIP Phone
  これらの不具合は、7905 H.323電話ファームウェアロードのバージョン1.0(1)で解決されています。修正を含むバージョン1.0(1)のイメージ名は、署名されたイメージの場合はcp790501001h323031212a.sbin、署名されていないイメージの場合はcp790501001h323031212a.zupです。
  
• Cisco ATA18xシリーズアナログテレフォニーデバイス
  これらの不具合は、ソフトウェアバージョン3.1.2で解決されています。
  
• Cisco BTS 10200
  Cisco BTS 10200には、バージョン4.1で利用可能なソフトウェア修正があります。BTS 10200を配備したお客様は、「修正済みソフトウェアの入手」セクションの指示に従ってTACに連絡し、修正済みソフトウェアバージョンを入手する必要があります。
  

Cisco PSIRTでは、このアドバイザリに記載されている脆弱性のエクスプロイト事例は確認していません。

これらの脆弱性は、NISCC Vulnerability Management Team（英国政府のCERT）の協力を得て、フィンランドのオウル大学のOUSPGによって開発されたPROTOS H.323テストスイートを使用して発見されました。

これらの脆弱性は、シスコが提供していない他の製品にも存在します。また、このセキュリティアドバイザリは、影響を受ける他の組織からの発表と同時に公開されます。

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。