High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco Service and Application Module for IP(SAMI)上で動作するCisco Content Services Gateway - Second Generation(CSG2)には、サービスポリシーバイパスの脆弱性が存在します。特定の設定では、この脆弱性により次のことが可能になります。
-
エンドカスタマーに課金されることなく、アクセスされる請求ポリシーに通常一致するサイトにアクセスする顧客
-
設定された制限ポリシーに基づいて通常は拒否されるサイトにアクセスする顧客
さらに、Cisco CSG2上のCisco IOSソフトウェアリリース12.4(24)MD1には、リモートの認証されていない攻撃者によって不正利用される可能性のある2つの脆弱性が含まれており、これによりサービス妨害(DoS)状態が発生し、トラフィックがCSG2を通過できなくなっています。これらの脆弱性は、Cisco CSG2でアクティブにする必要のあるコンテンツサービスが1つだけであり、巧妙に細工されたTCPパケットによって不正利用される可能性があります。これらの脆弱性を不正利用するために3ウェイハンドシェイクは必要ありません。
これらの脆弱性を軽減する回避策はありません。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20110126-csg2 で公開されています。
該当製品
サービスポリシーバイパスの脆弱性は、このアドバイザリの「ソフトウェアバージョンと修正」セクションに記載されているように、最初の修正リリースより前のCSG2対応Cisco IOSソフトウェアのすべてのバージョンに影響します。
2つのDoS脆弱性は、Cisco CSG2上のCisco IOSソフトウェアリリース12.4(24)MD1にのみ影響します。その他のCisco IOSソフトウェアリリースは影響を受けません。
脆弱性のある製品
Cisco CSG2で実行されているCisco IOSソフトウェアのバージョンを確認するには、Cisco CSG2モジュールがインストールされているスイッチで、Cisco IOSソフトウェアからshow moduleコマンドを発行し、システムにインストールされているモジュールとサブモジュールを特定します。
Cisco CSG2はCisco Service and Application Module for IP(SAMI)カード上で動作し、WS-SVC-SAMI-BB-K9の識別により、スロット2の次の例で識別されます。
C7600#show module Mod Ports Card Type Model Serial No. --- ----- -------------------------------------- ------------------ ----------- 1 2 Supervisor Engine 720 (Active) WS-SUP720-3BXL JAF1226ARQS 2 1 SAMI Module (csgk9) WS-SVC-SAMI-BB-K9 SAD113906P1 4 48 CEF720 48 port 10/100/1000mb Ethernet WS-X6748-GE-TX SAL1127T6XY Mod MAC addresses Hw Fw Sw Status --- ---------------------------------- ------ ------------ ------------ ------- 1 001e.be6e.a018 to 001e.be6e.a01b 5.6 8.5(2) 12.2(33)SRC5 Ok 2 001d.45f8.f3dc to 001d.45f8.f3e3 2.1 8.7(0.22)FW1 12.4(2010040 Ok 4 001c.587a.ef20 to 001c.587a.ef4f 2.6 12.2(14r)S5 12.2(33)SRC5 Ok Mod Sub-Module Model Serial Hw Status ---- --------------------------- ------------------ ----------- ------- ------- 1 Policy Feature Card 3 WS-F6K-PFC3BXL JAF1226BNQM 1.8 Ok 1 MSFC3 Daughterboard WS-SUP720 JAF1226BNMC 3.1 Ok 2 SAMI Daughterboard 1 SAMI-DC-BB SAD114400L9 1.1 Other 2 SAMI Daughterboard 2 SAMI-DC-BB SAD114207FU 1.1 Other 4 Centralized Forwarding Card WS-F6700-CFC SAL1029VGFK 2.0 Ok Mod Online Diag Status ---- ------------------- 1 Pass 2 Pass 4 Pass C7600#
正しいスロットを見つけたら、「session slot <module number> processor <3-9>」コマンドを発行して、対応するCisco CSG2へのコンソール接続を開きます。Cisco CSG2に接続したら、show versionコマンドを実行します。
次の例は、Cisco CSG2がソフトウェアリリース12.4(24)MD1を実行していることを示しています。
CSG2#show version Cisco IOS Software, SAMI Software (SAMI-CSGK9-M), Version 12.4(24)MD1, RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2010 by Cisco Systems, Inc. Compiled Wed 07-Apr-10 09:50 by prod_rel_team --- output truncated ---
脆弱性を含んでいないことが確認された製品
Cisco Content Services Gateway - 1st Generation(CSG)は、これらの脆弱性の影響を受けません。
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
Cisco Content Services Gateway Second Generation(CSG2)は、ディープパケットインスペクションに基づく柔軟なポリシー管理や課金などのインテリジェントなネットワーク機能に加え、加入者とアプリケーションの認識機能を提供します。これにより、モバイル事業者はモバイルデータネットワークを通じて、付加価値の高い差別化されたサービスを迅速かつ容易に提供できます。
サービスポリシーバイパスの脆弱性は、エンドユーザが最初に非アカウンティングサイトまたは課金サイトにアクセスできる設定に影響を与えます。ユーザが非アカウンティングサイトにアクセスすると、課金サービスポリシーによって定義された他のサイトにアクセスしたり、特別に巧妙に細工されたHTTPパケットを送信することによって他のポリシーによってブロックされている可能性のあるサイトにアクセスしたりすることができます。この脆弱性の影響を受けるのは、HTTPコンテンツトラフィックのみです。HTTPSおよびその他のトラフィックタイプは影響を受けません。
いずれのDoS脆弱性も、Cisco CSG2でアクティブにする必要のあるコンテンツサービスは1つだけであり、巧妙に細工されたTCPパケットによって不正利用される可能性があります。これらの脆弱性を不正利用するために3ウェイハンドシェイクは必要ありません。この脆弱性は、Cisco CSG2を通過するTCPトラフィックによって引き起こされます。
サービスポリシーバイパスの脆弱性は、Cisco Bug ID CSCtk35917 (登録ユーザ専用)として文書化され、CVE IDとしてCVE-2011-0348が割り当てられています。
サービス拒否(DoS)のバグは、Cisco Bug ID CSCth17178(登録ユーザ専用)とCisco Bug ID CSCth41891(登録ユーザ専用)として文書化され、それぞれCVE IDとしてCVE-2011-0349とCVE-2011-0350が割り当てられています。
回避策
これらの脆弱性に対する回避策はありません。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
Cisco IOS ソフトウェアの表(下掲)の各行には、Cisco IOS のリリース トレインが記載されています。リリーストレインに脆弱性が存在する場合、修正を含む最初のリリース(および該当する場合は、それぞれで利用可能になる予定日)が表の「最初の修正リリース」列に記載されます。「推奨リリース」列には、このアドバイザリが作成された時点で発表されているすべての脆弱性の修正を含むリリースが記載されます。特定の列に記されているリリースよりも古い(第 1 修正済みリリースより古い)トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。表の「推奨リリース」列に記載されているリリース、またはそれよりも新しいリリースにアップグレードすることを推奨します。
|
メジャー リリース |
修正済みリリースの入手可能性 |
|
|---|---|---|
|
該当する12.xベースのリリース |
First Fixed Release(修正された最初のリリース) |
|
|
12.0 ~ 12.3 |
12.0 ~ 12.3ベースのリリースは影響を受けません |
|
|
Affected 12.4-Based Releases |
First Fixed Release(修正された最初のリリース) |
|
|
DoSの脆弱性 |
サービスポリシーバイパスの脆弱性 |
|
|
12.4MD |
すべての12.4(11)MDリリースは影響を受けません。 すべての12.4(15)MDリリースは影響を受けません。 すべての12.4(22)MDリリースは影響を受けません。 12.4(24)MD1より前のリリースは影響を受けません。 最初の修正は12.4(24)MD2 |
すべての12.4(11)MDリリースが影響を受けます。修正済みリリースに移行。 すべての12.4(15)MDリリースが影響を受けます。修正済みリリースに移行。 すべての12.4(22)MDリリースが影響を受けます。修正済みリリースに移行。 12.4(24)MD3より前のすべての12.4(24)MDリリースが影響を受けます。 最初の修正は12.4(24)MD3 |
|
12.4MDA |
該当するリリースはありません。 |
12.4(22)MDA5より前のすべての12.4(22)MDAリリースが影響を受けます。最初の修正は12.4(22)MDA5 12.4(24)MDA3より前のすべての12.4(24)MDAリリースが影響を受けます。最初の修正は12.4(24)MDA3 |
|
該当する15.Xベースのリリース |
First Fixed Release(修正された最初のリリース) |
|
|
15.0 ~ 15.1 |
15.0 ~ 15.1ベースのリリースは影響を受けません |
|
CSG2用のCisco IOSソフトウェアは、Cisco Software Download CenterのCisco Interfaces and Modules —> Cisco Services Modules —> Cisco Service Application Module for IPにあります。
推奨事項
不正利用事例と公式発表
Cisco PSIRTは、一部の外部ブログサイトでサービス課金バイパスの脆弱性に関する公式発表を確認しています。ただし、Cisco PSIRTでは、本アドバイザリに記載されている脆弱性の不正利用事例は確認しておりません。
これらの脆弱性は、社内テストとカスタマーサポートコールの処理時に発見されました。
URL
改訂履歴
|
リビジョン 1.0 |
2011年1月26日 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。