日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
IOSを実行し、Border Gateway Protocol(BGP;ボーダーゲートウェイプロトコル)が有効になっているシスコデバイスは、不正なBGPパケットによるDenial of Service(DOS;サービス拒否)攻撃に対して脆弱です。BGPプロトコルはデフォルトでは有効になっていないため、明示的に定義されたピアからのトラフィックを受け入れるように設定する必要があります。悪意のあるトラフィックが設定された信頼できるピアから送信されていると思われない限り、不正なパケットを挿入することは困難です。
シスコでは、この問題に対処する無償のソフトウェアを提供しています。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20040616-bgpで確認できます。
該当製品
このセクションには、該当製品に関する詳細が掲載されています。
脆弱性のある製品
この問題は、Cisco IOSまたはCisco IOS XRコードの未修正バージョンを実行し、BGPルーティングが設定されているすべてのシスコデバイスに影響を与えます。
BGPプロセスを実行しているルータのコンフィギュレーションには、AS番号を定義する行があります。これは、show running-configコマンドを発行すると表示できます。
router bgp
この脆弱性は、9.x、10.x、11.x、12.xなど、BGPプロトコルのサポートが開始された時点から、修正されていないバージョンのIOSに存在します。
この脆弱性は、バージョン2.0.Xおよび3.0.Xを含むBGPプロトコルのサポートの開始以降、IOS XRの未修正バージョンに存在します
Cisco 製品で稼働しているソフトウェアを確認するには、デバイスにログインし、show version コマンドを発行してシステム バナーを表示します。Cisco IOSソフトウェアは、「Internetwork Operating System Software」または単に「IOS®」と表示されます。 出力の次の行では、イメージ名がカッコで囲まれて表示され、その後に「Version」とIOSリリース名が続きます。その他の Cisco デバイスには show version コマンドがないか、異なる出力が返されます。
次の例は、IOSリリース12.0(3)が稼働し、インストールされているイメージ名がC2500-IS-Lであるシスコ製品を示しています。
Cisco Internetwork Operating System Software IOS (TM) 2500 Software (C2500-IS-L), Version 12.0(3), RELEASE SOFTWARE
リリーストレインラベルは「12.0」です。
次の例は、IOSリリース12.0(2a)T1を実行し、イメージ名がC2600-JS-MZの製品を示しています。
Cisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-JS-MZ), Version 12.0(2a)T1, RELEASE SOFTWARE (fc1)
Cisco IOSリリースの命名の詳細については、http://www.cisco.com/warp/public/620/1.htmlを参照してください。
脆弱性を含んでいないことが確認された製品
脆弱性が存在しないことが確認された製品には、BGPに参加できないデバイスや、BGP用に設定できないデバイスが含まれます。
詳細
Border Gateway Protocol(BGP;ボーダーゲートウェイプロトコル)は、RFC 1771で定義されているルーティングプロトコルで、大規模ネットワークでのIPルーティングを管理するために設計されています。脆弱性のあるバージョンのCisco IOSソフトウェアを実行し、BGPプロトコルを有効にしている該当シスコデバイスでは、不正な形式のBGPパケットが受信されるとリロードが発生します。BGPはTCP上で動作します。これは信頼性の高いトランスポートプロトコルであり、以降のメッセージが受け入れられるには、有効な3ウェイハンドシェイクが必要です。Cisco IOSのBGP実装では、接続を確立する前にネイバーを明示的に定義する必要があり、トラフィックはそのネイバーから到達しているように見える必要があります。これらの実装の詳細により、不正な送信元からCisco IOSデバイスにBGPパケットを送信することは非常に困難です。
無効なBGPパケットを受信したシスコデバイスはリセットされ、完全に機能するまでに数分かかることがあります。この脆弱性が繰り返し悪用されると、長時間にわたるDOS攻撃が発生する可能性があります。この問題は、Bug ID CSCdu53656(登録ユーザ専用)とCSCea28131(登録ユーザ専用)に記載されています。
回避策
回避策の効果は、製品の組み合わせ、ネットワークトポロジ、トラフィックの動作、組織のミッションなど、お客様の状況によって異なります。該当する製品とリリースは多岐に渡るので、サービス プロバイダーやサポート機関に連絡し、ネットワーク内で使用するのに最も適した回避策を確認してから、実際に配備することを推奨いたします。
BGPセキュリティリスクアセスメント、緩和テクニック、導入のベストプラクティスに関する詳細については、ftp://ftp-eng.cisco.com/cons/isp/security/BGP-Risk-Assesment-v.pdfを参照してください。
BGP MD5
通常の状況では、シーケンス番号のチェックなど、TCPプロトコルに固有のセキュリティ要因により、この問題を不正利用するために適切なパケットを偽造することは困難ですが、可能です。Cisco IOSデバイスをBGP MD5認証用に設定することは、脆弱性のあるデバイスを保護するための有効な回避策です。
これは、次の例に示すように設定できます。
router(config)# router bgp router(config-router)# neighbor <IP_address> password <enter_your_secret_here>
両方のピアで同時に同じ共有MD5シークレットを設定する必要があります。そうしないと、既存のBGPセッションが中断され、両方のデバイスで同じシークレットが設定されるまで、新しいセッションは確立されません。BGPの設定方法の詳細については、次の文書を参照してください。
シークレットを設定したら、定期的に変更することをお勧めします。正確な期間は会社のセキュリティポリシーに適合している必要がありますが、数ヵ月以内である必要があります。シークレットを変更する場合も、両方のデバイスで同時に行う必要があります。そうしないと、既存のBGPセッションが中断されます。例外は、Cisco IOSソフトウェアリリースに接続の両側に統合CSCdx23494(登録ユーザ専用)修正が含まれている場合です。この修正を適用すると、MD5シークレットが一方の側でのみ変更された場合にBGPセッションが終了しなくなります。ただし、両方のデバイスで同じシークレットが設定されるか、両方のデバイスからシークレットが削除されるまで、BGPアップデートは処理されません。
インフラストラクチャ アクセス コントロール リスト
ネットワークを移動するトラフィックをブロックするのは往々にして困難ですが、インフラストラクチャ デバイスに送られてはならないトラフィックを識別し、ネットワークの境界でそのトラフィックをブロックすることは可能です。インフラストラクチャ ACL はネットワーク セキュリティのベスト プラクティスと考えられており、ここでの特定の脆弱性の回避策としてだけでなく、優れたネットワーク セキュリティへの長期的な付加機能として考慮する必要があります。ホワイトペーパー『Protecting Your Core: Infrastructure Protection Access Control Lists』では、インフラストラクチャ保護ACLのガイドラインと推奨される導入方法について説明しています。
修正済みソフトウェア
注:この表に示すリリースの多くは、他のIOSアドバイザリのリリースより前に修正されています。表をよく読み、ご使用のIOSリリースにこれらの修正が含まれているかどうかを確認してください。https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20040420-snmpやhttps://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20040420-tcp-iosなどのTCPおよびSNMPアドバイザリのほとんどの修正済みリリースには、このBGPアドバイザリに対する修正が含まれています。
Cisco IOS ソフトウェアの表(下掲)の各行には、リリース トレインとそれに対応するプラットフォームまたは製品が記載されています。特定のリリーストレインに脆弱性が存在する場合、修正を含む最初のリリース(「最初の修正リリース」)とそれぞれの提供予定日が「リビルド」、「暫定」、および「メンテナンス」の各列に記載されます。特定の列に記されているリリースよりも古い(第 1 修正済みリリースより古い)トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。このようなリリースは、少なくとも、示されているリリース以上(最初の修正リリース ラベル以上)にアップグレードしてする必要があります。リリースを選択するときは、次の定義を念頭においてください。
メンテナンス
表の特定の行のリリーストレインについて、最も頻繁にテストされ、安定しており、強く推奨されるリリース。
リビルド
同じトレインの以前のメンテナンスリリースまたはメジャーリリースから構築され、特定の不具合に対する修正が含まれています。テストは十分ではありませんが、脆弱性を修正するために必要な最小限の変更だけが含まれています。
Interim
メンテナンスリリース間で定期的に構築され、テストの頻度が少ない暫定は、脆弱性に対応しているリリースが他にない場合にだけ選択してください。暫定イメージは、次のメンテナンス リリースが利用可能になった後、すぐにアップグレードする必要があります。暫定リリースは製造部門を通じて入手することはできず、通常はCisco TACとの事前調整がない限り、Cisco.comからお客様がダウンロードすることはできません。
すべての場合において、アップグレードするデバイスに十分なメモリが実装されており、現在のハードウェアおよびソフトウェアの構成が新しいソフトウェア リリースでも適切にサポートされていることを確認する必要があります。情報が明確でない場合は、Cisco TACに連絡して、下記の「修正済みソフトウェアの入手」セクションに示されているサポートを依頼してください。
Cisco IOS ソフトウェアのリリース名および省略形の詳細は、http://www.cisco.com/warp/public/620/1.html620 を参照してください。
修正は、http://www.cisco.com/tacpage/sw-center/ の Software Center から入手できます。
ソフトウェアのインストールおよびアップグレード手順については、http://www.cisco.com/warp/public/130/upgrade_index.shtmlを参照してください。
Cisco IOSのすべてのポスト済みイメージと修復済みイメージの現在のビューについては、Cisco.comの登録ユーザが利用できるリスト(http://www.cisco.com/tacpage/sw-center/sw-ios.shtml)を確認してください。
|
メジャー リリース |
修正済みリリースの入手可能性* |
||
|---|---|---|---|
|
該当する 11.1 ベースのリリース |
リビルド |
暫定 |
メンテナンス |
|
11.1 |
11.2以降に移行 |
||
|
11.1AA |
11.2P以降に移行 |
||
|
11.1CA |
12.0以降に移行 |
||
|
11.1CC |
12.0以降に移行 |
||
|
該当する 11.2 ベースのリリース |
リビルド |
暫定 |
メンテナンス |
|
11.2 |
11.2(26g) |
||
|
11.2P |
11.2(26)P7 |
||
|
11.2SA |
脆弱性なし |
||
|
該当する 11.3 ベースのリリース |
リビルド |
暫定 |
メンテナンス |
|
11.3 |
11.3(11f) |
||
|
11.3T |
11.3(11b)T5 |
||
|
該当する 12.0 ベースのリリース |
リビルド |
暫定 |
メンテナンス |
|
12.0 |
12.0(27) |
||
|
12.0DA |
12.2DA以降に移行 |
||
|
12.0S |
12.0(21)S7 |
||
|
12.0(22)S2e |
|||
|
12.0(22)S3c |
|||
|
12.0(22)S4a |
|||
|
12.0(22)S5 |
|||
|
12.0(23)S3 |
|||
|
12.0(24)S2 |
|||
|
12.0(25)S1 |
|||
|
12.0(26)S |
|||
|
12.0SL |
12.0(23)S3以降に移行 |
||
|
12.0ST |
12.0(17)ST10ご要望に応じて提供 |
||
|
12.0(21)ST7 |
|||
|
12.0(26)S2以降に移行 |
|||
|
12.0SV |
12.0(27)SV |
||
|
12.0SX |
12.0(25)SX |
||
|
12.0SZ |
12.0(23)SZ3 |
||
|
12.0(26)SZ |
|||
|
12.0(26)S2以降に移行 |
|||
|
12.0T |
12.1以降に移行 |
||
|
12.0W5 |
12.0(16)W5(21c) |
||
|
12.0(25)W5(27b) |
|||
|
12.0(26)W5(28a) |
|||
|
12.0(27)W5(29) |
|||
|
12.0WC |
脆弱性なし |
||
|
12.0WX |
12.0W5以降に移行 |
||
|
12.0XA |
最新の12.1以降に移行 |
||
|
12.0XC |
最新の12.1以降に移行 |
||
|
12.0XD |
最新の12.1以降に移行 |
||
|
12.0XE |
最新の12.1E以降に移行 |
||
|
12.0XG |
最新の12.1以降に移行 |
||
|
12.0XH |
最新の12.1以降に移行 |
||
|
12.0XI |
最新の12.1以降に移行 |
||
|
12.0XJ |
最新の12.1以降に移行 |
||
|
12.0XK |
最新の12.1T以降に移行 |
||
|
12.0XL |
最新の12.2以降に移行 |
||
|
12.0XN |
最新の12.1以降に移行 |
||
|
12.0XP |
脆弱性なし |
||
|
12.0XR |
最新の12.2以降に移行 |
||
|
12.0XS |
最新の12.1E以降に移行 |
||
|
12.0XU |
脆弱性なし |
||
|
該当する 12.1 ベースのリリース |
リビルド |
暫定 |
メンテナンス |
|
12.1 |
12.1(20) |
||
|
12.1AA |
最新の12.2以降に移行 |
||
|
12.1AX |
脆弱性なし |
||
|
12.1AY |
脆弱性なし |
||
|
12.1AZ |
12.1(14)AZ |
||
|
12.1DA |
12.2DA以降に移行 |
||
|
12.1DB |
12.2B以降に移行 |
||
|
12.1E |
12.1(6)E12.0 |
||
|
12.1(8b)E14 |
|||
|
12.1(11b)E12.0 |
|||
|
12.1(12c)E7 |
|||
|
12.1(13)E6 |
|||
|
12.1(14)E4 |
|||
|
12.1(19)E |
|||
|
12.1(20)E |
|||
|
12.1EA |
12.1(14)EA1 |
||
|
12.1EB |
12.1(14)EB1 |
||
|
12.1EC |
12.1(19)EC |
||
|
12.1EO |
12.1(19)EO |
||
|
12.1EV |
12.1(12c)EV2 |
||
|
12.1EW |
12.1(19)EW |
||
|
12.1EX |
12.1(14)E4以降に移行 |
||
|
12.1EY |
12.1(14)E4以降に移行 |
||
|
12.1T |
12.1(5)T19 |
||
|
12.1XA |
12.1(5)T19以降に移行 |
||
|
12.1XB |
12.1(5)T19以降に移行 |
||
|
12.1XC |
12.1(5)T19以降に移行 |
||
|
12.1XD |
12.2以降に移行 |
||
|
12.1XE |
最新の12.1E以降に移行 |
||
|
12.1XF |
12.2(4)T6以降に移行 |
||
|
12.1XG |
12.2(4)T6以降に移行 |
||
|
12.1XH |
12.2以降に移行 |
||
|
12.1XI |
最新の12.2以降に移行 |
||
|
12.1XJ |
12.2(4)T6以降に移行 |
||
|
12.1XL |
最新の12.2T以降に移行 |
||
|
12.1XM |
最新の12.2T以降に移行 |
||
|
12.1XP |
12.2(4)T6以降に移行 |
||
|
12.1XQ |
最新の12.2T以降に移行 |
||
|
12.1XR |
最新の12.2T以降に移行 |
||
|
12.1XT |
12.2(4)T6以降に移行 |
||
|
12.1XU |
最新の12.2T以降に移行 |
||
|
12.1XV |
12.2XB以降に移行 |
||
|
12.1XY |
12.2XB以降に移行 |
||
|
12.1YA |
12.2(8)T10以降に移行 |
||
|
12.1YB |
12.2(4)T6以降に移行 |
||
|
12.1YC |
12.2(8)T10以降に移行 |
||
|
12.1YD |
12.2(8)T10以降に移行 |
||
|
12.1YH |
12.2(13)T5以降に移行 |
||
|
12.1YJ |
脆弱性なし |
||
|
該当する 12.2 ベースのリリース |
リビルド |
暫定 |
メンテナンス |
|
12.2 |
12.2(10d) |
||
|
12.2(12e) |
|||
|
12.2(12h)M1 |
|||
|
12.2(13c) |
|||
|
12.2(16a) |
|||
|
12.2(17) |
|||
|
12.2B |
12.2(15)B1 |
||
|
12.2BC |
12.2(15)BC1 |
||
|
12.2BW |
12.2(15)T12以降に移行 |
||
|
12.2BX |
12.2(16)BX |
||
|
12.2BY |
12.2(15)B1以降に移行 |
||
|
12.2BZ |
12.2(16)BX以降に移行 |
||
|
12.2CX |
12.2(15)CX |
||
|
12.2DA |
12.2(12)DA6 |
||
|
12.2DD |
12.2(15)B1以降に移行 |
||
|
12.2DX |
12.2(15)B1以降に移行 |
||
|
12.2EW |
12.2(18)EW |
||
|
12.2JA |
12.2(13)JA |
||
|
12.2S |
12.2(14)S2 |
||
|
12.2(18)S |
|||
|
12.2SE |
12.2(18)SE |
||
|
12.2SU |
12.2(14)SU |
||
|
12.2SV |
12.2(18)SV |
||
|
12.2SW |
12.2(18)SW |
||
|
12.2SX |
12.2(14)SX2 |
||
|
12.2SXA |
12.2(17b)SXA |
||
|
12.2SXB |
12.2(17d)SXB |
||
|
12.2SY |
12.2(14)SY |
||
|
12.2SZ |
12.2(14)SZ2 |
||
|
12.2T |
12.2(4)T6 |
||
|
12.2(8)T10 |
|||
|
12.2(11)T9 |
|||
|
12.2(13)T5 |
|||
|
12.2(15)T4 |
|||
|
12.2XA |
12.2(11)T9以降に移行 |
||
|
12.2XB |
12.2(2)XB16 |
||
|
12.2XD |
12.2(8)T10以降に移行 |
||
|
12.2XE |
12.2(8)T10以降に移行 |
||
|
12.2XG |
12.2(8)T10以降に移行 |
||
|
12.2XH |
12.2(11)T9以降に移行 |
||
|
12.2XI |
12.2(11)T9以降に移行 |
||
|
12.2XJ |
12.2(11)T9以降に移行 |
||
|
12.2XK |
12.2(11)T9以降に移行 |
||
|
12.2XL |
12.2(15)T4以降に移行 |
||
|
12.2XM |
12.2(15)T4以降に移行 |
||
|
12.2XN |
12.2(11)T9以降に移行 |
||
|
12.2XQ |
12.2(11)T9以降に移行 |
||
|
12.2XS |
12.2(11)T9以降に移行 |
||
|
12.2XT |
12.2(11)T9以降に移行 |
||
|
12.2XU |
12.2(15)T12以降に移行 |
||
|
12.2XW |
12.2(11)T9以降に移行 |
||
|
12.2YA |
12.2(15)T4以降に移行 |
||
|
12.2YB |
12.2(15)T4以降に移行 |
||
|
12.2YC |
12.2(11)T11以降に移行 |
||
|
12.2YD |
12.2(8)YY以降に移行 |
||
|
12.2YE |
12.2S以降に移行 |
||
|
12.2YF |
12.2(15)T4以降に移行 |
||
|
12.2YG |
12.2(13)T5以降に移行 |
||
|
12.2YH |
12.2(15)T4以降に移行 |
||
|
12.2YJ |
12.2(15)T4以降に移行 |
||
|
12.2YL |
12.3(2)T以降に移行 |
||
|
12.2YM |
12.3(2)T以降に移行 |
||
|
12.2YN |
12.3(2)T以降に移行 |
||
|
12.2YO |
12.2(14)SY以降に移行 |
||
|
12.2YP |
12.2(11)YP1 |
||
|
12.2YQ |
12.3(4)T以降に移行 |
||
|
12.2YR |
12.3(4)T以降に移行 |
||
|
12.2YS |
12.3T以降に移行 |
||
|
12.2YT |
12.2(15)T4以降に移行 |
||
|
12.2YU |
12.3(4)T以降に移行 |
||
|
12.2YV |
12.3(4)T以降に移行 |
||
|
12.2YW |
12.3(2)T以降に移行 |
||
|
12.2YX |
12.2(14)SU以降に移行 |
||
|
12.2YY |
12.2(8)YY3 |
||
|
12.2YZ |
12.2(14)SZ以降に移行 |
||
|
12.2ZA |
12.2(14)ZA2 |
||
|
12.2ZB |
12.3T以降に移行 |
||
|
12.2ZC |
12.3T以降に移行 |
||
|
12.2ZE |
12.3以降に移行 |
||
|
12.2ZF |
12.3(4)T以降に移行 |
||
|
12.2ZG |
12.3(4)T以降に移行 |
||
|
12.2ZH |
12.3(4)T以降に移行 |
||
|
12.2ZI |
12.2(18)S以降に移行 |
||
|
12.2ZK |
12.2(15)ZK |
||
|
12.2ZL |
12.2(15)ZL |
||
|
12.2ZN |
12.3(2)T以降に移行 |
||
|
12.2ZO |
12.2(15)ZO |
||
|
12.2ZP |
12.2(13)ZP |
||
|
該当する 12.3 ベースのリリース |
リビルド |
暫定 |
メンテナンス |
|
12.3 |
脆弱性なし |
||
|
12.3T |
脆弱性なし |
||
|
製品 |
First Fixed Release(修正された最初のリリース) |
|---|---|
|
Cisco IOS XR |
IOS XR 3.2.5 |
推奨事項
不正利用事例と公式発表
この脆弱性が発見された原因となった研究は、2003年6月にNANOGで公表されました。Cisco PSIRTチームでは、本アドバイザリに記載されている脆弱性の不正利用事例は確認しておりません。この問題は、内部テストと、カリフォルニア大学サンタバーバラ校の研究チームからの通知によって知らされました。
Cisco PSIRTでは、本アドバイザリに記載されている脆弱性の不正利用事例は確認しておりません。
URL
改訂履歴
|
リビジョン 1.1 |
2006年1月12日 |
「脆弱性のある製品」セクションを更新。「ソフトウェアバージョンと修正」セクションに「製品/最初の修正リリース」の表を追加。 |
|
リビジョン 1.0 |
2004年6月16日 |
初版リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。