High
High
アドバイザリーID : cisco-sa-20140924-nat
初公開日 : 2014-09-24 16:00
バージョン 1.0 : Final
CVSSスコア :
7.1
回避策 :
No Workarounds available
Cisco バグ ID : CSCun54071
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco IOSソフトウェアのネットワークアドレス変換(NAT)機能の脆弱性により、認証されていないリモートの攻撃者が該当デバイスにサービス妨害(DoS)状態を引き起こす可能性があります。この脆弱性は、IPバージョン4(IPv4)パケットの不適切な変換に起因します。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140924-nat
注: 2014年9月24日のCisco IOSソフトウェアセキュリティアドバイザリバンドル公開には6件のCisco Security Advisoryが含まれています。すべてのアドバイザリは、Cisco IOSソフトウェアの脆弱性に対処しています。個々の公開リンクは、次のリンクにある『Cisco Event Response: Semiannual Cisco IOS Software Security Advisory Bundled Publication』に掲載されています。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140924-nat
注: 2014年9月24日のCisco IOSソフトウェアセキュリティアドバイザリバンドル公開には6件のCisco Security Advisoryが含まれています。すべてのアドバイザリは、Cisco IOSソフトウェアの脆弱性に対処しています。個々の公開リンクは、次のリンクにある『Cisco Event Response: Semiannual Cisco IOS Software Security Advisory Bundled Publication』に掲載されています。
http://www.cisco.com/web/about/security/intelligence/Cisco_ERP_sep14.html
該当製品
脆弱性のある製品
該当するCisco IOSソフトウェアリリースを実行しているシスコデバイスは、NATが設定されていて、Session Initiation Protocol(SIP)でマルチパートSession Description Protocol(SDP)のNATアプリケーションレイヤゲートウェイ(NAT ALG)が有効になっている場合に脆弱性の影響を受けます。SIPのマルチパートSDPのNAT ALGは、デフォルトでは有効になっていません。
Cisco IOSデバイスでNATが設定されているかどうかを確認するには、次の2つの方法があります。
SIPのマルチパートSDPのNAT ALGが有効になっているかどうかを確認する方法が1つあります。
注:デバイスに存在するCisco Easy VPNリモートクライアント機能の設定により、NATが自動的に有効になります。Cisco Easy VPN Remote機能によって作成されたNATおよびポートアドレス変換(PAT)の設定は、スタートアップコンフィギュレーションファイルや実行コンフィギュレーションファイルには書き込まれません。ただし、これらの設定は、show ip nat statisticsコマンドを使用して表示できます。
Cisco IOSデバイスでNATが設定されているかどうかを確認するには、次の2つの方法があります。
- デバイスでNATがアクティブかどうかを確認する
- デバイスの設定にNATコマンドが含まれているか確認する
SIPのマルチパートSDPのNAT ALGが有効になっているかどうかを確認する方法が1つあります。
デバイスでNATがアクティブかどうかの確認
Cisco IOSソフトウェアを実行しているCiscoデバイスでNATが有効になっているかどうかを確認するには、デバイスにログインしてshow ip nat statisticsコマンドを発行します。NATがアクティブな場合、「Outside interfaces」セクションと「Inside interfaces」セクションにはそれぞれ少なくとも1つのインターフェイスが含まれます。次の例は、NATがアクティブになっているデバイスを示しています。show ip nat statisticsコマンドの出力にインターフェイスが何も表示されない場合でも、NAT仮想インターフェイス機能を使用して、デバイス上でNATがアクティブな可能性があります。この機能によってNATがアクティブになっているかどうかを確認するには、show ip nat nvi statisticsコマンドを発行します。NATがアクティブな場合、「NAT Enabled interfaces」セクションには少なくとも1つのインターフェイスが含まれます。次の例は、NATがアクティブになっているデバイスを示しています。Router#show ip nat statistics Total active translations: 0 (0 static, 0 dynamic; 0 extended) Peak translations: 10, occurred 00:24:01 ago Outside interfaces: FastEthernet0/0 Inside interfaces: FastEthernet0/1 Hits: 134280 Misses: 0 CEF Translated packets: 134270, CEF Punted packets: 10 Expired translations: 11 Dynamic mappings: -- Inside Source [Id: 1] access-list NET-192.168.20.0_24 pool POOL-NET-192.168.1.0_24 refcount 0 pool POOL-NET-192.168.1.0_24: netmask 255.255.255.0 start 192.168.1.120 end 192.168.1.128 type generic, total addresses 9, allocated 0 (0%), misses 0 Total doors: 0 Appl doors: 0 Normal doors: 0 Queued Packets: 0 Router#
Router#show ip nat nvi statistics Total active translations: 1 (0 static, 1 dynamic; 1 extended) NAT Enabled interfaces: FastEthernet0/0, FastEthernet0/1 Hits: 81373 Misses: 3 CEF Translated packets: 44371, CEF Punted packets: 8 Expired translations: 3 Dynamic mappings: -- Source [Id: 1] access-list NET-192.168.20.0_24 pool POOL-NET-192.168.1.0_24 refcount 1 pool POOL-NET-192.168.1.0_24: netmask 255.255.255.0 start 192.168.1.120 end 192.168.1.128 type generic, total addresses 9, allocated 1 (11%), misses 0 Router#
デバイスの設定にNATコマンドが含まれているか確認する
Cisco IOSソフトウェアの設定でNATが有効になっているかどうかを確認するには、デバイスにログインしてshow running-configコマンドを発行します。NATがアクティブな場合は、ip nat insideおよびip nat outsideインターフェイスコマンドが存在している必要があります。また、NAT 仮想インターフェイスの場合は、ip nat enable インターフェイス コマンドが存在します。注:デバイスに存在するCisco Easy VPNリモートクライアント機能の設定により、NATが自動的に有効になります。Cisco Easy VPN Remote機能によって作成されたNATおよびポートアドレス変換(PAT)の設定は、スタートアップコンフィギュレーションファイルや実行コンフィギュレーションファイルには書き込まれません。ただし、これらの設定は、show ip nat statisticsコマンドを使用して表示できます。
デバイス設定でSIPのマルチパートSDPのNAT ALGが有効になっているかどうかの確認
Cisco IOSソフトウェアを実行しているCisco IOSデバイスでSIPトラフィックのマルチパートSDP用のNAT ALGを有効にするには、デバイスの設定にip nat service allow-multipartコマンドが存在している必要があります。次の例は、SIPのマルチパートSDPのNAT ALGが有効になっているデバイスを示しています。Router#show running-config | include ip nat service allow-multipart ip nat service allow-multipart Router#
デバイスのCisco IOSソフトウェアリリースの確認
シスコ製品で稼働している Cisco IOS ソフトウェア リリースを確認するには、デバイスにログインして show version コマンドを使って、システム バナーを表示します。"Internetwork Operating System Software"、"Cisco IOS Software" あるいはこれらに類似するシステム バナーによってデバイスで Cisco IOS ソフトウェアが稼働していることを確認できます。 その後ろにイメージ名が括弧の間に表示され、続いて "Version" と Cisco IOS ソフトウエア リリース名が表示されます。他のシスコ デバイスでは、show version コマンドが存在しなかったり、別の出力が表示されたりします。
次の例は、Cisco IOS ソフトウェア リリースが 15.2(4)M5、インストールされたイメージ名が C3900-UNIVERSALK9-M であるシスコ製品を示しています。
Router> show version
Cisco IOS Software, C3900 Software (C3900-UNIVERSALK9-M), 15.2(4)M5, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2013 by Cisco Systems, Inc.
Compiled Fri 13-Sep-13 16:44 by prod_rel_team!--- output truncated
Cisco IOSソフトウェアのリリース命名規則の追加情報は、『White Paper: Cisco IOS and NX-OS Software Reference Guide』で確認できます。
脆弱性を含んでいないことが確認された製品
Cisco IOSソフトウェアを実行しているシスコデバイスでNAT機能が設定されていない場合、そのデバイスには脆弱性はありません。Cisco IOSソフトウェアを実行しているシスコデバイスでNAT機能が設定されていても、SIPのマルチパートSDPのNAT ALGが有効になっていない場合、そのデバイスには脆弱性が存在しません。
次の製品には脆弱性が存在しないことが確認されています。
次の製品には脆弱性が存在しないことが確認されています。
- Cisco IOS-XRソフトウェア
- Cisco IOS XE ソフトウェア
- Cisco NX-OS ソフトウェア
- Cisco ASA ソフトウェア
詳細
Cisco IOSソフトウェアのアプリケーションレイヤゲートウェイ(ALG)モジュールの脆弱性により、認証されていないリモートの攻撃者が該当デバイスのリロードを引き起こし、サービス妨害(DoS)状態が発生する可能性があります。
この脆弱性は、ネットワークアドレス変換(NAT)を必要とするSession Initiation Protocol(SIP)メッセージが該当デバイスでどのように処理されることに起因します。攻撃者は、巧妙に細工されたSIPメッセージを送信して該当デバイスで処理および変換することにより、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者は該当デバイスのリロードを引き起こし、DoS状態を引き起こす可能性があります。
この脆弱性は、マルチパートSDPトラフィック(RFC 5621で定義)がNATの対象となり、SIPのマルチパートSDPに対するNAT ALGがデバイスで有効になっている場合にトリガーされる可能性があります。SIPのマルチパートSDPのNAT ALGは、デフォルトでは有効になっていません。この脆弱性は、該当デバイスを通過するトラフィックによってのみトリガーされ、該当デバイス自体を宛先とするトラフィックでは不正利用されません。この脆弱性は、IPバージョン6(IPv6)トラフィックでは不正利用できません。
この脆弱性は、Cisco Bug ID CSCun54071(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2014-3361が割り当てられています。
この脆弱性は、ネットワークアドレス変換(NAT)を必要とするSession Initiation Protocol(SIP)メッセージが該当デバイスでどのように処理されることに起因します。攻撃者は、巧妙に細工されたSIPメッセージを送信して該当デバイスで処理および変換することにより、この脆弱性を不正利用する可能性があります。この不正利用により、攻撃者は該当デバイスのリロードを引き起こし、DoS状態を引き起こす可能性があります。
この脆弱性は、マルチパートSDPトラフィック(RFC 5621で定義)がNATの対象となり、SIPのマルチパートSDPに対するNAT ALGがデバイスで有効になっている場合にトリガーされる可能性があります。SIPのマルチパートSDPのNAT ALGは、デフォルトでは有効になっていません。この脆弱性は、該当デバイスを通過するトラフィックによってのみトリガーされ、該当デバイス自体を宛先とするトラフィックでは不正利用されません。この脆弱性は、IPバージョン6(IPv6)トラフィックでは不正利用できません。
この脆弱性は、Cisco Bug ID CSCun54071(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2014-3361が割り当てられています。
回避策
この脆弱性は、SIPでマルチパートSDPのNAT ALGを無効にすることで軽減できます。SIPでマルチパートSDPのNAT ALGを無効にするには、グローバルコンフィギュレーションモードでno ip nat service allow-multipartを使用します。
注:SIPでマルチパートSDPのNAT ALGを無効にすると、サードパーティのSIPゲートウェイおよびデバイスとの相互運用性に悪影響を及ぼす可能性があります。
注:SIPでマルチパートSDPのNAT ALGを無効にすると、サードパーティのSIPゲートウェイおよびデバイスとの相互運用性に悪影響を及ぼす可能性があります。
修正済みソフトウェア
ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt のシスコ セキュリティ アドバイザリ、応答、および通知のアーカイブや、後続のアドバイザリを参照して侵害の可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
Cisco IOS ソフトウェア
シスコは、お客様がCisco IOSソフトウェアの脆弱性の影響を受けるかどうかを判断するためのツールを提供しています。 Cisco IOS Software Checker により、次のタスクを実行できます。
- ドロップダウン メニューからリリースを選択するか、ローカル システムからファイルをアップロードすることによって、検索を開始する
- show version コマンドの出力をツールで解析する
- カスタマイズした検索を作成して、以前に公開されたすべてのシスコセキュリティアドバイザリ、特定の資料、または2015年9月のバンドル資料のすべてのアドバイザリを含めます
このツールは、クエリされたソフトウェアリリースに影響を与えるシスコセキュリティアドバイザリと、各シスコセキュリティアドバイザリのすべての脆弱性を修正する最初のリリース(First Fixed)を特定します。該当する場合、表示されたすべてのアドバイザリのすべての脆弱性を修正する最初のリリース(Combined First Fixed)も返します。Cisco IOS Software Checkerにアクセスするか、次のフィールドにCisco IOSソフトウェアリリースを入力して、このバンドルアドバイザリアドバイザリの影響を受受受えないかどうかを判断します。
(例:15.1(4)M2)
Cisco IOS XE ソフトウェア
Cisco IOS XEソフトウェアは、このアドバイザリで説明されている脆弱性の影響を受けません。Cisco IOS XR ソフトウェア
Cisco IOS XRソフトウェアは、2014年9月のCisco IOS Software Security Advisoryバンドル公開に含まれている脆弱性の影響を受けません。推奨事項
$propertyAndFields.get("recommendations")
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)は、本アドバイザリに記載されている脆弱性の不正利用事例やその公表を確認していません。
この脆弱性は、カスタマーサービスリクエストの処理中に発見されたものです。
この脆弱性は、カスタマーサービスリクエストの処理中に発見されたものです。
URL
改訂履歴
| リビジョン 1.0 | 2014年9月24日 | 初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。