複数のIOS IPSの脆弱性

ダウンロード オプション

  • PDF     (269.6 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (82.9 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (76.4 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2022 年 12 月 19 日
Document ID:null-null

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

Medium

Medium

アドバイザリーID : cisco-sa-20070213-iosips
初公開日 : 2007-02-13 16:00
バージョン 1.1 : Final
CVSSスコア : 4.7
回避策 : No Workarounds available
Cisco バグ ID : CSCsa53334 CSCsg15598
 

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

概要

Cisco IOS®の侵入防御システム(IPS)機能セットには、いくつかの脆弱性が含まれています。802.11 の標準規格には以下があります。

  • フラグメント化されたIPパケットは、シグニチャ検査を回避するために使用される可能性があります。
  • ATOMIC.TCPシグニチャエンジンの正規表現機能を使用するIPSシグニチャは、ルータのクラッシュを引き起こし、サービス拒否を引き起こす可能性があります。

これらの脆弱性には緩和策と回避策があります。Cisco では、該当するお客様用に、これらの脆弱性に対応する無償ソフトウェアを提供しております。

このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20070213-iosips で公開されています。

該当製品

脆弱性のある製品

IPS機能セットが有効になっている次のCisco IOSリリーストレインには、断片化パケット回避の脆弱性が存在します。

  • 12.3T(バージョン12.3(2)T、12.3(4)T、および12.3(7)Tを除く)
  • 12.4
  • 12.4T
  • 12.4XE

IPS機能セットが有効になっている次のCisco IOSリリーストレインには、ATOMIC.TCP正規表現によるサービス拒否の脆弱性が存在します。

  • 12.3T(バージョン12.3(2)T、12.3(4)T、および12.3(7)Tを除く)
  • 12.3XQ、12.3XR、12.3XS、12.3XW、12.3XX、12.3XY
  • 12.3YA、12.3YD、12.3YG、12.3YH、12.3YI、12.3YJ、12.3YK、12.3YM、12.3YQ、12.3YS、12.3YT、12.3YX、12.3YZ
  • 12.4
  • 12.4MR
  • 12.4T
  • 12.4XA、12.4XB

IOSデバイスでIPS機能セットがアクティブになっているかどうかを確認するには、show ip ips configurationコマンドを使用します。このコマンドは、IPSインスペクションを使用するように設定されたインターフェイスをリストします。その後、各インターフェイスのステータスをチェックして、有効になっているかどうかを確認する必要があります。

router#show ip ips configuration
Configured Config Locations: -none-
Last signature default load time: 18:46:50 UTC Jan 5 2007
Last signature delta load time: -none-
Last event action (SEAP) load time: -none-
IPS Auto Update is not currently configured
IPS fail closed is disabled
Fastpath ips is enabled
Quick run mode is enabled
Event notification through syslog is enabled
Event notification through SDEE is enabled
Total Active Signatures: 85
Total Inactive Signatures: 61
IPS Rule Configuration
 IPS name test
IPS Category CLI is not configured
Interface Configuration
 Interface FastEthernet0/0
  Inbound IPS rule is test
  Outgoing IPS rule is not set

router#show ip interface FastEthernet0/0
FastEthernet0/0 is up, line protocol is up

上の例では、インターフェイスFastEthernet0/0がIPSを使用するように設定されており、有効になっていることが示されています。

脆弱性を含んでいないことが確認された製品

他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。

詳細

Cisco IOS Intrusion Prevention System(IPS)は、Cisco IOSソフトウェアによるネットワーク攻撃の軽減を可能にする、インラインのディープパケットインスペクションベースの機能です。Cisco IOS IPSを使用すると、悪意のあるトラフィックや被害を与えるトラフィックをリアルタイムで特定、分類、停止、ブロックするインテリジェンスによって、ネットワーク自体を防御できます。IOS IPS機能セットには、複数の脆弱性が含まれています。これらの脆弱性の影響を受けるのは、IPS機能セットを含むIOSイメージだけです。

フラグメント化パケット回避の脆弱性

一部のIPSシグニチャは正規表現を使用します。脆弱性により、攻撃者は悪意のあるネットワークトラフィックをIPフラグメントとして送信することで、これらのIPSシグニチャを回避できます。これにより、シグニチャ検査をバイパスする悪意のあるトラフィックが発生する可能性があり、保護されたシステムの不正利用が可能になる可能性があります。正規表現を使用しないIPSシグニチャは、この脆弱性の影響を受けません。すべてのIPプロトコル(TCP、UDP、ICMPなど)がこの脆弱性の影響を受けます。この脆弱性に対する緩和策があります。この脆弱性は、Cisco Bug ID CSCsg15598 (登録ユーザ専用)に記載されています。

ATOMIC.TCPの正規表現によるDoS脆弱性

特定のネットワークトラフィックが、ATOMIC.TCPシグニチャエンジンの正規表現機能を使用するIPSシグニチャをトリガーする可能性があり、これがIOS IPSデバイスのクラッシュを引き起こす可能性があります。これにより、サービス拒否が発生し、ネットワークトラフィックが中断される可能性があります。シグニチャ3123.0(Netbus Pro Traffic)がこの脆弱性をトリガーすることが実証されています。この脆弱性に対しては回避策があります。この脆弱性は、Cisco Bug ID CSCsa53334 (登録ユーザ専用)に記載されています。

脆弱性スコア評価の詳細

Cisco では、Common Vulnerability Scoring System(CVSS)に基づき、このアドバイザリで説明されている脆弱性のスコアを評価しました。

Cisco では基本スコアと現状スコアを評価します。お客様はこれらを用いて環境評価スコア (Environmental Score) を算出し、個々のネットワークにおける脆弱性の影響度を導き出すことができます。

Cisco PSIRT は、すべてのケースにおける重みを「標準」に設定します。特定の脆弱性の環境的影響を判断する際には、重みパラメータを適用することを推奨します。

CVSS は、脆弱性の重大度を伝える標準ベースのスコア評価方式であり、対応の緊急度や優先度を判断するのに役立ちます。

シスコは、http://www.cisco.com/web/about/security/intelligence/cvss-qandas.htmlでCVSSに関するその他の質問に回答するためのFAQを提供しています。

シスコは、https://sec.cloudapps.cisco.com/security/center/cvssCalculator.xで個々のネットワークの環境への影響を計算するCVSS計算ツールも提供しています。

CSCsg15598(登録ユーザ専用):DYIDS:Fragmentation preventing signature recognition

CSCsg15598の環境スコアを計算する

CVSS 基本スコア - 4.7

攻撃元区分

攻撃条件の複雑さ

[Authentication]

機密性への影響

完全性への影響

可用性への影響

影響の重み

Remote

低い

不要

部分的

部分的

なし

Normal

CVSS 現状スコア - 3.9

攻撃される可能性

利用可能な対策のレベル

Report Confidence

機能する

正式

確認済

CSCsa5334(登録ユーザ専用):bus error in single_pkt_regex

CSCsa53334の環境スコアを計算する

CVSS 基本スコア:3.3

攻撃元区分

攻撃条件の複雑さ

[Authentication]

機密性への影響

完全性への影響

可用性への影響

影響の重み

Remote

低い

不要

なし

なし

完了

Normal

CVSS 現状スコア - 2.7

攻撃される可能性

利用可能な対策のレベル

Report Confidence

機能する

正式

確認済

回避策

緩和策または修正の効果は、製品の組み合せ、ネットワーク トポロジ、トラフィックの動作、組織のミッションなど、お客様の状況によって異なります。該当する製品とリリースは多岐に渡るので、サービス プロバイダーやサポート機関に連絡し、ネットワーク内で使用するのに最も適した緩和策や修正を確認してから、実際に配備することを推奨いたします。

ネットワーク内部の Cisco のデバイスに展開できる追加の緩和策については、このアドバイザリに関連する Cisco 適用対応策速報(https://sec.cloudapps.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20070213-iosips)を参照してください。

フラグメント化パケット回避の脆弱性

フラグメント化パケット回避の脆弱性に対する緩和策があります。IOSトランジットアクセスコントロールリスト(ACL)のfragmentsキーワードを使用すると、フラグメント化されたIPパケットがIOSデバイスを通過することを禁止できます。IPフラグメントのフィルタリングの詳細については、次を参照してください。

IPフラグメントをブロックすると、一部のプロトコル(HTTP、FTP、Kerberos/Active Directoryなど)に悪影響を及ぼす可能性があるため、この回避策は慎重に使用する必要があります。

access-list 100 deny tcp any 10.1.1.0 0.0.0.255 fragments
access-list 100 deny udp any 10.1.1.0 0.0.0.255 fragments

ATOMIC.TCPの正規表現によるDoS脆弱性

IOS IPSシグニチャ定義ファイル(SDF)からIPSシグニチャ3123.0を削除することにより、ATOMIC.TCP正規表現のサービス拒否の脆弱性に対する回避策があります。シグニチャ3123.0だけを無効にしても、回避策を有効にするには十分ではありません。次のコマンドは、IOS IPSデバイスからシグニチャ3123.0を削除します。

router#configure terminal
router(config)#ip ips signature 3123 delete
%IPS Signature 3123:0 is marked for deletion
%IPS The signature will be deleted when signatures are reloaded or saved
router(config)#interface FastEthernet0/0
router(config)#no ip ips test in     
router(config)#ip ips test in
router(config)#exit

上記の例では、最初にシグニチャ定義ファイルからシグニチャ3123.0が削除され、次にインターフェイスFastEthernet0/0で実行されているIPSインスタンスが停止され、シグニチャの削除を反映するためにIPS状態の再初期化が開始されます。IPS機能セットが複数のインターフェイスで設定されている場合は、影響を受けるインターフェイスごとに次の手順を実行する必要があります。

シグニチャ3123がアクティブかどうかを確認するには、show ip ips signatureコマンドを使用します。

router#show ip ips signatures | include 3123
3123:0      N   A      MED     0      0     0   100    30 FA  N    S46

上記のコマンド出力では、3123.0の後のNは、シグニチャが設定に存在するが有効になっていないことを示しています。シグニチャが削除されると、show ip ips signatureコマンドを再実行すると、次のように表示されます。

router#show ip ips signatures | include 3123
3123:0      N*   A      MED     0      0     0   100    30 FA  N    S46

上記のコマンド出力では、3123.0の後のN*は、シグニチャが設定から削除されたことを示しています。回避策を完了するには、IPSが設定されている各インターフェイスでIPS機能セットを再起動する必要があります。完了すると、show ip ips signatureコマンドの出力に次のように表示されます。

router#show ip ips signatures | include 3123

router#

この脆弱性は、ATOMIC.TCPエンジンの正規表現機能を使用するIPSシグニチャに影響を与える可能性があります。現在、シスコはこの方法で設定されたシグニチャ(3123.0)を1つだけ出荷しています。正規表現でATOMIC.TCPエンジンを使用するように設定されたIOS IPSデバイスにカスタムシグニチャが追加されている場合、回避策の有効性を確保するために、これらのシグニチャもIPS設定から削除する必要があります。

修正済みソフトウェア

アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。

Cisco IOS ソフトウェアの表(下掲)の各行には、リリース トレインとそれに対応するプラットフォームまたは製品が記載されています。特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース(「第 1 修正済みリリース」)とそれぞれの提供日が「リビルド」列と「メンテナンス」列に記載されます。特定の列に記されているリリースよりも古い(第 1 修正済みリリースより古い)トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。このようなリリースは、少なくとも、示されているリリース以上(最初の修正リリース ラベル以上)にアップグレードしてする必要があります。

「リビルド」および「メンテナンス」という用語の詳細については、次のURLを参照してください。http://www.cisco.com/warp/public/620/1.html

メジャー リリース

修正済みリリースの入手可能性

該当する 12.3 ベースのリリース

リビルド

メンテナンス

12.3T

12.3(2)T、12.3(4)T、および12.3(7)Tのすべてのリリースには脆弱性はありません

すべての12.3(8)Tリリースに脆弱性が存在します

12.3(11)T10

  

12.3(14)T7

  

利用可能なプラットフォームは限定されています。TACにお問い合わせください。

12.4(12)以降に移行してください。

12.3XQ

脆弱性あり、12.4(12)以降に移行

12.3XR

脆弱性あり。TACにお問い合わせください

12.3XS

脆弱性あり、12.4(12)以降に移行

12.3XW

脆弱性あり。12.3(11)YF以降に移行してください。

12.3XX

脆弱性あり、12.4(12)以降に移行

12.3XY

脆弱性あり、12.4(12)以降に移行

12.3YA

脆弱性あり。TACにお問い合わせください

12.3YD

脆弱性あり、12.4(2)T3以降に移行

12.3YG

脆弱性あり、12.4(2)T3以降に移行

12.3YH

脆弱性あり、12.4(2)T3以降に移行

12.3YI

脆弱性あり、12.4(2)T3以降に移行

12.3YJ

脆弱性あり、12.3(14)YQ8以降に移行

12.3YK

脆弱性あり、12.4(4)T以降に移行

12.3YM

12.3(14)YM5

  

12.3YQ

12.3(14)YQ8

  

12.3YS

脆弱性あり、12.4(4)T以降に移行

12.3YT

脆弱性あり、12.4(4)T以降に移行

12.3YX

12.3(14)YX3

  

12.3YZ

12.3(11)YZ

  

該当する 12.4 ベースのリリース

リビルド

メンテナンス

12.4

12.4(1c)

  

12.4(3b)

12.4(5)

12.4(7e)(2007年3月26日に入手可能)

 

すべての12.4(8)リリースに脆弱性が存在します

12.4(10b)

12.4(12)

12.4MR

12.4(6)MR1

  

12.4T

12.4(2)T3

12.4(4)T
 

12.4(6)T

12.4(9)T3(2007年4月9日に入手可能)

12.4(11)T1

12.4XA

12.4(2)XA2

  

12.4XB

12.4(2)XB3

  

12.4XE

脆弱性あり。TACにお問い合わせください

不正利用事例と公式発表

このアドバイザリで説明されている脆弱性の公表や悪用に関する情報は Cisco PSIRT には寄せられていません。

フラグメント化されたパケット回避の脆弱性は、シスコ内部で発見されました。

ATOMIC.TCPの正規表現によるサービス拒否の脆弱性は、お客様からシスコに報告されました。

URL

改訂履歴

リビジョン 1.0

2007年2月13日

初回公開リリース

利用規約

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。