Cisco PIX/ASA DHCPリレーエージェントのメモリリークの脆弱性

Cisco PIXおよび適応型セキュリティアプライアンス(ASA)ソフトウェアバージョン7.2(1) ～ 7.2(2.14)には脆弱性があり、認証されていないリモートの攻撃者が該当デバイスにトラフィックの転送を停止させる可能性があります。

この脆弱性は、特定の設定で特定のDHCPパケットを処理するときに発生するエラーが原因で存在します。  認証されていないリモートの攻撃者は、影響を受けるデバイスに大量のDHCP要求を送信することで、この脆弱性を不正利用する可能性があります。その結果、デバイスはトラフィックを処理するために使用可能なメモリリソースを消費する可能性があります。  デバイスが使用可能なメモリを使い果たすと、トラフィックの転送が停止し、サービス拒否(DoS)状態が発生します。

シスコはこの脆弱性を確認し、ソフトウェアアップデートをリリースしました。

この脆弱性を不正利用するには、攻撃者は複数のDHCPサーバへのDHCPリレーが設定された該当デバイスと同じサブネット上にあるシステムを制御する必要があります。  この脆弱性は、正規のクライアントがDHCPリースを要求するため、通常の条件下では徐々に顕在化します。その結果、影響を受けるPIXまたはASAデバイスではトラフィックの転送が停止します。  ただし、脆弱なデバイスが含まれるサブネットにアクセスできる攻撃者が脆弱な設定を行うと、該当するデバイスでDHPC要求が繰り返され、トラフィックの転送が停止する可能性があります。  ただし、最初の要求の後、攻撃者のシステムにDHCPリースが付与されます。  この脆弱性を不正利用する追加の要求を行うには、攻撃者はシステムのネットワークカードのMACアドレスを変更してから、新しい要求を行う必要があります。   これは可能ですが、使用するオペレーティングシステムに応じて、いくつかのスキルや特別なツールが必要です。   影響を受けるメモリ領域を埋めるために、攻撃者がDHCP要求を何回行う必要があるかは明確ではありません。しかし、DHCPリース割り当てのインスタンスが発生するたびに、デバイスのパフォーマンスが低下します。

デバイスがパケットを転送しなくなっても、管理者はコンソールポートに接続してシステムをリブートしたり、その他の管理操作を実行できることに注意する必要があります。

影響を受けるデバイスでは、DHCPリレーはデフォルトでは設定されていません。

ファイアウォールサービスモジュール(FWSM)は、この脆弱性の影響を受けません。

シスコは、次のリンクでCisco Bug ID CSCsh50277のセキュリティ応答をリリースしています。cisco-sr-20070502-pix

US-CERTは次のリンクで脆弱性に関するノートをリリースしました。VU#530057

使用可能なソフトウェアアップデートを適用することを推奨します。

パッチを適用できるまで、1つのDHCPサーバに対してのみDHCPリレーを設定することを推奨します

影響を受けるシステムを監視することを推奨します。  パフォーマンスが低下した場合は、パッチを適用できるようになるまで、営業時間外にシステムを再起動して状況を修正する必要があります。

契約が有効なシスコのお客様は、CiscoのSoftware Centerからアップデートを入手できます。契約をご利用でないお客様は、Cisco Technical Assistance Center(TAC)に1-800-553-2447または1-408-526-7209で連絡するか、tac@cisco.comに電子メールで問い合わせてアップグレードを入手できます。

Cisco Product Security Incident Response Team（PSIRT）は、本アドバイザリに記載されている脆弱性の不正利用事例やその公表を確認していません。

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。