Cisco Optical Networking System 15000シリーズおよびCisco Transport Controllerの脆弱性

Cisco Optical Networking System(ONS)15310 Multi-service Provisioning Platform(MSPP)、ONS 15327 MSPP、ONS 15454 MSPP、ONS 15454 Multi-service Transport Platform(MSTP)、およびONS 15600 MSPPには、複数の脆弱性が存在します。これらの脆弱性は、Common Control Card(CCC)がデータ通信ネットワーク(DCN)に接続され、Internet Protocol Version 4(IP)が有効になっている光ノードに影響を与えます。これらの脆弱性の不正利用に成功すると、Common Control Card(CCC)のサービス拒否(DoS)が発生します。

Cisco Transport Controller(CTC)アプレットランチャには、CTCワークステーションで任意のコードが実行される可能性のある別の脆弱性が存在します。このソフトウェアは、光ノードへの管理接続が確立されると、Common Control Card(CCP)からダウンロードされます。

Cisco では、該当するお客様用に、これらの脆弱性に対応する無償ソフトウェアを提供しております。

これらの脆弱性に対しては、影響を緩和するための回避策があります。

このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20060405-ons で公開されています。

このセクションには、該当製品に関する詳細が掲載されています。

該当するCisco ONS 15310-CL、ONS 15327、ONS 15454 MSPP/ONS 15454 MSTP、およびONS 15600ハードウェアは、それぞれCTX、XTC、TCC2/TCC2+、およびTSCコントロールカード（以下、単にコントロールカードと呼ぶ）を介して管理されます。これらのコントロールカードは通常、データ通信ネットワーク(DCN)に接続されます。この場合、DCNという用語は、管理ステーションとネットワークエンティティ(NE)の間で管理情報を伝送するネットワークを表すために使用されます。このDCNの定義は、Management Communication Network（MCN；管理通信ネットワーク）と呼ばれることがあります。DCNは通常、顧客ネットワークから物理的または論理的に分離され、インターネットから分離されています。これにより、インターネットからこれらの脆弱性が悪用される可能性が制限されます。

ACKサービス拒否(DoS)攻撃

この脆弱性は、Cisco Bug ID CSCei45910(登録ユーザ専用):ACK Denial of Service(DoS)攻撃として文書化されています。

この脆弱性は、ローカルエリアネットワーク(LAN)インターフェイスでIPが設定されている場合に、すべてのCisco ONS NEに適用されます。

LANインターフェイスのIPはデフォルトで有効になっています。

LANインターフェイスでIPが有効になっていないNEは、この脆弱性の影響を受けません。

CTCナビゲーションタブ(Provisioning > Network > General)のIP addressフィールドにIPアドレスが入力されている場合、そのデバイスではIPが有効になっており、該当するバージョンのソフトウェアを実行している場合に脆弱性が存在します。

NEは、複数のリモート管理TCPポートに対するACKサービス拒否(DoS)攻撃を受けやすくなっています。ポートは次のとおりです。

80:    HTTP
443:   HTTPS
1080:  SOCKS
2361:  TL1
3081:  TL1-LV
3082:  TL1-RAW
3083:  TL1-TELNET
57790: non-secure Internet Inter-ORB Protocol (IIOP) port
57791: Secure Socket Layer Inter-ORB Protocol (SSLIOP) port. 

注：システムソフトウェアのすべてのバージョンで、すべてのポートが開いているわけではありません。

ネットワークエンティティ上のコントロールカードはメモリリソースを使い果たし、新しいソケット接続を開くことができず、攻撃を受け続けるとリセットする可能性があります。ACK DoS攻撃は、3ウェイTCPハンドシェイクの完了に必要な最終ACKを送信せずに、無効な応答を送信して接続を無効なTCP状態に移行することによって実行されます。攻撃が繰り返されると、両方のコントロールカードが同時にリセットされる可能性があります。

偽造IPパケットによるコントロールカードのリセット

この脆弱性は、Cisco Bug ID CSCsc51390(登録ユーザ専用)「巧妙に細工されたIPパケットによるコントロールカードのリセット」に記載されています。

この脆弱性は、LANインターフェイスでIPが設定され、Element Management System(EMS)からネットワーク要素へのアクセスのセキュアモードが有効になっている場合に、すべてのCisco ONS NEに適用されます。NEは、特別に巧妙に細工されたIPパケットを受信するとDoS攻撃を受けやすくなります。

セキュアモードEMSからネットワーク要素へのアクセスが有効になっていないNEは、この脆弱性の影響を受けません。

セキュアモードのEMSからネットワーク要素へのアクセスは、デフォルトで無効になっています。

デバイスは、CTC経由でProvisioning > Security > AccessノードレベルのナビゲーションタブのAccess Stateがsecureにチェックされている場合に脆弱になり、non-secureにチェックされている場合に脆弱ではありません。

巧妙に細工されたIPパケットが繰り返されると、両方のコントロールカードが同時にリセットされます。

偽造IPパケットによるコントロールカードのリセット

この脆弱性は、Cisco Bug ID CSCsd04168(登録ユーザ専用)「巧妙に細工されたIPパケットによるコントロールカードのリセット」に記載されています。

この脆弱性は、LANインターフェイスにIPが設定されているすべてのCisco ONS NEに適用されます。NEは、特別に巧妙に細工されたIPパケットを受信すると、サービス拒否(DoS)攻撃を受けやすくなります。

LANインターフェイスでIPが有効になっていないNEは、この脆弱性の影響を受けません。

LANインターフェイスのIPはデフォルトで有効になっています。

CTCナビゲーションタブ(Provisioning > Network > General)のIP addressフィールドにIPアドレスが入力されている場合、そのデバイスではIPが有効になっており、該当するバージョンのソフトウェアを実行している場合に脆弱性が存在します。

巧妙に細工されたIPパケットが繰り返されると、両方のコントロールカードが同時にリセットされる可能性があります。

不正なOSPFパケットが原因でコントロールカードがリセットされる

この脆弱性は、Cisco Bug ID CSCsc54558(登録ユーザ専用)「不正なOSPFパケットによってコントロールカードがリセットされる」に記載されています。

この脆弱性は、コントロールカードのLANインターフェイスでOpen Shortest Path First(OSPF)ルーティングプロトコルが設定されている場合に、すべてのCisco ONS NEに適用されます。

OSPFは、RFC 2328で定義されているルーティングプロトコルです。自律システム(AS)内のIPルーティングを管理するように設計されています。OSPFパケットはIPプロトコル番号89を使用します。

この脆弱性はOSPFパケットの処理に存在し、制御カードのリセットを引き起こすために不正利用される可能性があります。OSPFはマルチキャストパケットだけでなくユニキャストパケットも処理する必要があるため、この脆弱性はリモートから悪用される可能性があります。攻撃者は、一度にローカルセグメント上の複数のシステムをターゲットにすることもできます。

LANインターフェイスでOSPFが有効になっていないNEは、この脆弱性の影響を受けません。

LANインターフェイスのOSPFはデフォルトで無効になっています。

CTC経由でProvisioning > Network > OSPFノードレベルナビゲーションタブのOSPF Active on LANチェックボックスが有効になっているデバイスは脆弱であり、このチェックボックスが有効になっていないデバイスは脆弱ではありません。

ctcランチャには広範すぎるjava.policy権限

この脆弱性は、Bug ID CSCea25049(登録ユーザ専用)「java.policy permissions too broad for CTC Launcher」に記載されています。

この脆弱性は、CTCがインストールされているすべてのワークステーションに適用されます。CTCは、2つの場所にインストールされるJavaアプリケーションです。CTCはコントロールカードに保存され、新しいソフトウェアリリースでNEに初めてログインするときに、ユーザのワークステーションにダウンロードされます。

CTCのインストール中に、codeBaseまたはhttp://*/fs/LAUNCHER.jarのソースから発信されるすべてのソフトウェアにすべての権限を付与するエントリがJavaポリシーファイルに作成されます。

以下に例を挙げます。

grant codeBase "http://*/fs/LAUNCHER.jar" { permission java.security.AllPermission; };

これにより、CTCコンピュータ上で任意のコードが実行される可能性があります。CTCがインストールされたコンピュータのユーザが/fs/LAUNCHER.jarの場所からJavaコードを実行するWebページにアクセスする場合に使用します。

Javaポリシーファイルは、パブリックJavaディレクトリ内のjava.policyファイル(通常はJavaプラグインがインストールされている${java.home}/lib/security/java.policy)と、ユーザのホームディレクトリ内の.java.policyファイル（先頭のドットに注意）です(通常は${user.home}/.java.policy)。

CTCバージョン4.1.0以降では、launcher.jarファイルは署名されています。バージョン4.1.0以降では、java.policyエントリの存在も検出され、エントリを削除するオプションをユーザに提供するダイアログボックスが表示されます。

このセクションでは、次の脆弱性の回避策について説明します。

• 次の一般的な緩和策は、上記のすべての脆弱性に関連するものです。
  DCNが顧客ネットワークから物理的または論理的に分離され、インターネットから隔離されていることを確認することで、インターネットまたは顧客ネットワークからこれらの脆弱性が悪用される可能性を制限できます。
  
  ONS上のCTX、XTC、TCC2/TCC2+、またはTSCコントロールカード宛てのTCP/IPトラフィックがネットワーク管理ワークステーションからのみ許可されるように、脆弱なネットワークデバイスの前に設置されたルータ/スイッチ/ファイアウォールにアクセスコントロールリスト(ACL)を適用します。CiscoルータにACLを適用する方法の例については、http://www.cisco.com/warp/public/707/tacl.htmlを参照してください。
  
  送信元IPアドレスがネットワーク管理ステーションのIPアドレスに設定されているスプーフィングされたIPパケットがNEの管理インターフェイスに到達しないようにするには、アンチスプーフィング技術を利用します。アンチスプーフィングのためにACLを使用する方法の詳細については、http://www.cisco.com/warp/public/707/21.pdfおよびhttp://www.ietf.org/rfc/rfc2827.txtを参照してください。
  
  Unicast Reverse Path Forwarding（ユニキャストRPF）機能は、ルータを通過する不正なIP送信元アドレスによって引き起こされる問題の緩和に役立ちます。詳細は、http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fsecur_c/fothersf/scfrpf.htm を参照してください。
  
• CSCea25049(登録ユーザ専用):java.policy権限がCTC Launcherには広すぎる
  ポリシーファイルエントリの*を、CTCログインノードのIPアドレスに置き換えます。複数のログインノードのエントリを複製します。
  以下に例を挙げます。
  Java.policyファイル内の脆弱なエントリ：
  grant codeBase "http://*/fs/LAUNCHER.jar" { permission java.security.AllPermission; };
  Java.policyファイル内に入力された回避策：
  grant codeBase "http://192.0.2.1/fs/LAUNCHER.jar" { permission java.security.AllPermission; };
  
  
• CSCsc51390(登録ユーザ専用)：巧妙に細工されたIPパケットにより、コントロールカードがリセットされます。
  考えられる回避策は、セキュアモードのEMSからネットワーク要素へのアクセスに対してNEを無効にすることです。
  

  注意：NEのリモート管理は、SSH、SSL、SSLIOPなどの安全なプロトコルを介して行うことをお勧めします。

シスコでは、該当するユーザが修正済みソフトウェアバージョンのコードにアップグレードすることを推奨します。

アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center（TAC）または契約を結んでいるメンテナンス プロバイダーにお問い合せください。

Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。