Medium
Medium
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
脆弱性は、Cisco IAD2400シリーズ、1900シリーズモバイルワイヤレスエッジルータ、およびCisco VG224アナログ電話ゲートウェイで実行されている特定のCisco IOS ®ソフトウェアリリーストレインに存在します。脆弱性のあるバージョンでは、デバイスでSNMPが有効になっている場合、デフォルトのハードコードされたSimple Network Management Protocol(SNMP)コミュニティストリングが含まれている場合があります。デフォルトのコミュニティストリングは、これらのデバイスがData Over Cable Service Interface Specification(DOCSIS)準拠のサポートインターフェイスとして誤って認識された結果です。このエラーの結果、デバイスがSNMP管理用に設定されている場合、読み取り/書き込みコミュニティストリングがさらに有効になる可能性があり、知識を持つ攻撃者がデバイスへの特権アクセスを取得できる可能性があります。
シスコでは、該当するお客様用に、この脆弱性に対応する無償ソフトウェアを提供しています。この脆弱性に対しては、影響を緩和するための回避策があります。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20060920-docsis で公開されています。
該当製品
次の製品は、SNMPサーバが有効な状態でCisco IOSソフトウェアの脆弱性のあるリリースを実行している場合に影響を受けます。次の「修正済みソフトウェア」セクションに記載されているバージョンよりも前のCisco IOSソフトウェアのバージョンには、脆弱性が存在する可能性があります。
デバイスでSNMPサーバが稼働しており、デフォルトコミュニティストリングが存在するかどうかを確認するには、プロンプトでイネーブルモードの間にshow snmp communityコマンドを発行して、次のような出力を探します。
Router#show snmp community Community name: cable-docsis Community Index: cisco0 Community SecurityName: cable-docsis storage-type: read-only active
デバイスでSNMPサーバが無効になっている場合は、次のような出力が返されます。
Router#show snmp community %SNMP agent not enabled
Cisco 製品で稼働しているソフトウェアを確認するには、デバイスにログインし、show version コマンドを発行してシステム バナーを表示します。Cisco IOS ソフトウェアは「Internetwork Operating System Software」または単に「IOS」と表示されます。出力の次の行では、イメージ名がカッコで囲まれて表示され、その後に「Version」とIOSリリース名が続きます。その他の Cisco デバイスには show version コマンドがないか、異なる出力が返されます。
次の例は、シスコ製品でIOSリリース12.2(15)MC2が稼働し、インストールされているイメージ名がMWR1900-I-Mであることを示しています。
Cisco Internetwork Operating System Software IOS (tm) 1900 Software (MWR1900-I-M), Version 12.2(15)MC2, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1)
Cisco IOSリリースの命名の詳細については、http://www.cisco.com/warp/public/620/1.htmlを参照してください。
脆弱性のある製品
該当するCisco IOSソフトウェアリリースが稼働しているシスコデバイスには、次のものがあります。
-
Cisco IAD2430統合アクセスデバイス
-
Cisco IAD2431統合アクセスデバイス
-
Cisco IAD2432統合アクセスデバイス
-
Cisco VG224アナログ電話ゲートウェイ
-
Cisco MWR 1900モバイルワイヤレスエッジルータ
-
Cisco MWR 1941モバイルワイヤレスエッジルータ
脆弱性を含んでいないことが確認された製品
脆弱性を含んでいない製品は次のとおりです。
-
Cisco IAD2420統合アクセスデバイス
-
Cisco IAD2421統合アクセスデバイス
-
Cisco IAD2423統合アクセスデバイス
-
Cisco IAD2424統合アクセスデバイス
他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。
詳細
Data Over Cable Service Interface Specification(DOCSIS)規格の実装により、ケーブルテレビプロバイダーが使用する物理メディアを介したデータ伝送が可能になります。したがって、RFC 2669では、DOCSIS準拠と見なされるためにサポートが必要なDOCSISケーブルデバイスMIB(DOCS-CABLE-DEVICE-MIBとしてよく知られています)が定義されています。このMIBは、テーブルdocsDevNmAccessTableを次のように定義します。
"This table controls access to SNMP objects by network management stations. If the table is empty, access to SNMP objects is unrestricted. This table exists only on SNMPv1 or v2c agents and does not exist on SNMPv3 agents. See the conformance section for details. Specifically, for v3 agents, the appropriate MIBs and security models apply in lieu of this table."
DOCSIS標準に準拠し、SNMPオブジェクトへの無制限のアクセスを回避するために、DOCSISをサポートするシスコデバイスには、読み取り/書き込みコミュニティストリング「cable-docsis」が含まれています。
このSNMPコミュニティストリングを含めることは、DOCSIS準拠のケーブル対応デバイスのみを対象としています。該当するプラットフォームで実行されているCisco IOSリリーストレインでこのコミュニティストリングを不注意でイネーブルにしてしまうと、脆弱性が存在します。
これらのプラットフォームで脆弱性のあるバージョンのCisco IOSソフトウェアを実行しているお客様は、追加の読み取り/書き込み(RW)コミュニティストリングを知らない可能性があります。
この脆弱性は、Cisco IAD2400シリーズおよびCisco VG224 Analog Phone GatewayではCisco Bug ID CSCsb04965(登録ユーザ専用)、1900シリーズモバイルワイヤレスエッジルータではCSCsb06658(登録ユーザ専用)として文書化されています。
回避策
回避策の効果は、製品の組み合わせ、ネットワークトポロジ、トラフィックの動作、組織のミッションなど、お客様の状況によって異なります。該当する製品とリリースは多岐に渡るので、サービス プロバイダーやサポート機関に連絡し、ネットワーク内で使用するのに最も適した回避策を確認してから、実際に配備することを推奨いたします。
アンチスプーフィング方式によって、スプーフィングされたソース攻撃がネットワークに侵入するのを常に防止し、なおかつ、影響を受ける可能性のあるすべてのデバイスに次のアクセスリストを設定する場合は、次の回避策を長期的なソリューションとしてのみ検討する必要があります。
SNMPサーバの無効化
SNMPサーバがデバイスで正当な目的に使用されていない場合は、コンフィギュレーションモードで次のコマンドを発行して無効にすることをお勧めします。
no snmp-server
コンフィギュレーションコマンドno snmp-server community <string> roを使用してパブリックコミュニティストリングを削除しても、SNMPサーバは稼働を続け、デバイスは脆弱であるため、十分ではありません。代わりにno snmp-serverコマンドを使用する必要があります。SNMPサーバのステータスは、enableコマンドshow snmpを使用して確認できます。「%SNMP agent not enabled」という応答が表示されるはずです。
この回避策は、デバイスの管理にSNMPが使用されていない場合にのみ有効です。
コミュニティマップによるアクセスの制限
コミュニティマップを作成する機能は、Cisco IOSバージョン12.0(23)S、12.2(25)S、および12.3(2)Tで導入されました。この機能により、SNMPコミュニティと、デフォルト設定とは異なるSNMPコンテキスト、エンジンID、またはセキュリティ名との間のマッピングを作成する機能が追加されます。
SNMPコミュニティをSNMPコンテキストに関連付けると、このコミュニティから要求が行われるたびに、指定されたコンテキストに適用されます。この機能を使用して、SNMPコミュニティの送信元アドレス検証を指定することもできます。
以下のようになります。
Router(config)#access-list 65 remark Deny access to community string Router(config)#access-list 65 deny any Router(config)#snmp-server community no-access RO 65 Router(config)#snmp mib community-map cable-docsis security-name no-access
上記により、「no-access」という名前の新しいコミュニティが作成されます。コミュニティ「no-access」を使用する認可はアクセスリストによって制御され、この場合はすべてのホストによる使用が拒否されます。snmp mib community-mapコマンドの追加により、「cable-docsis」の現在のコミュニティストリングは、新しいコミュニティストリング「no-access」のアクセス制限の対象となり、「cable-docsis」コミュニティストリングの使用ができなくなります。
コントロール プレーン ポリシング
Cisco IOSリリーストレイン12.0S、12.2SX、12.2S、12.3T、12.4、および12.4Tでは、コントロールプレーンポリシング(CoPP)がサポートされています。CoPPは、管理プレーンとコントロールプレーンを標的とする攻撃からデバイスを保護するように設定できます。次の例をネットワークに適用できます。この例では、すべてのSNMPアクセスがIPアドレス10.1.1.1の管理ステーションに制限され、管理ステーションはルータのIPアドレス192.168.10.1とだけ通信する必要があると仮定しています。
access-list 111 deny udp host 10.1.1.1 host 192.168.10.1 eq snmp access-list 111 permit udp any any eq snmp access-list 111 deny ip any any ! class-map match-all drop-snmp-class match access-group 111 ! ! policy-map drop-snmp-policy class drop-snmp-class drop ! control-plane service-policy input drop-snmp-policy
Cisco IOSトレイン12.0S、12.2S、および12.2SXでは、ポリシーマップの構文が異なることに注意してください。
policy-map drop-snmp-policy class drop-snmp-class police 32000 1500 1500 conform-action drop exceed-action drop
上記のCoPPの例では、ACLエントリの「permit」アクションに一致する悪用パケットがある場合、このようなパケットはポリシーマップの「drop」機能によって廃棄されますが、「deny」アクションに一致するパケットは、ポリシーマップのdrop機能の影響を受けません。
CoPP 機能の設定と使用方法についての詳細は、次の URL で確認できます。
http://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gtrtlimt.html
信頼できるホストだけにアクセスを制限する
アクセスコントロールリスト(ACL)を使用して、デバイスへのトラフィックを拒否できます。Cisco IOSデバイスには、コミュニティストリングごとにSNMP要求の送信元アドレスをチェックするコミュニティストリングアクセスリストがありますが、この場合はcable-docsisコミュニティストリングは設定オプションを介して変更または削除できないため、機能しません。
インターフェイスACLを使用して、信頼できるIPアドレスからルータへのUDPトラフィックを許可することができます。
注:SNMPはUDPに基づいているため、送信元のIPアドレスをスプーフィングして、信頼できるIPアドレスからこれらのポートへの通信を許可するACLを無効にできる可能性があります。
次の拡張アクセスリストをネットワークに適用できます。次の例での前提事項は、ルータのインターフェイスに IP アドレス 192.168.10.1 および 172.16.1.1 が設定されていること、すべての SNMP アクセスが IP アドレス 10.1.1.1 の管理ステーションに限定されていること、およびその管理ステーションが IP アドレス192.168.10.1とだけ通信する必要があることです。
access-list 101 permit udp host 10.1.1.1 host 192.168.10.1 eq snmp access-list 101 deny udp any host 192.168.10.1 eq snmp access-list 101 deny udp any host 172.16.1.1 eq snmp access-list 101 permit ip any any
その後、次の設定コマンドを使用して、すべてのインターフェイスにaccess-listを適用する必要があります。
interface FastEthernet 0/0 ip access-group 101 in
ルータがSNMPパケットを受け入れて処理することを防ぐため、ポート161(SNMP)へのUDPトラフィックは、ルータの各IPアドレスに対して明示的にブロックする必要があることに注意してください。未知のホストからポート161へのトラフィックをブロックすることがベストプラクティスと考えられています。ポート161でルータと直接通信する必要があるすべてのデバイスは、上記のアクセスリストに具体的に記載する必要があります。
IP アドレスが多数設定されているデバイス、またはルータと通信する必要がある多数のホストでは、この方法はスケーラブルなソリューションでない場合があります。
インフラストラクチャ ACL(iACL)
ネットワークを移動するトラフィックをブロックするのは往々にして困難ですが、インフラストラクチャ デバイスに送られてはならないトラフィックを識別し、ネットワークの境界でそのトラフィックをブロックすることは可能です。インフラストラクチャ ACL はネットワーク セキュリティのベスト プラクティスと考えられており、ここでの特定の脆弱性の回避策としてだけでなく、優れたネットワーク セキュリティへの長期的な付加機能として考慮する必要があります。ホワイトペーパー『Protecting Your Core: Infrastructure Protection Access Control Lists』では、iACLのガイドラインと推奨される導入方法について説明しています。
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_white_paper09186a00801a1a55.shtml
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
Cisco IOS ソフトウェアの表(下掲)の各行には、リリース トレインとそれに対応するプラットフォームまたは製品が記載されています。特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース(「第 1 修正済みリリース」)とそれぞれの提供日が「リビルド」列と「メンテナンス」列に記載されます。特定の列に記されているリリースよりも古い(第 1 修正済みリリースより古い)トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。このようなリリースは、少なくとも、示されているリリース以上(最初の修正リリース ラベル以上)にアップグレードしてする必要があります。
「リビルド」および「メンテナンス」という用語の詳細については、次のURLを参照してください。http://www.cisco.com/warp/public/620/1.html
メジャー リリース |
修正済みリリースの入手可能性 |
|
該当する 12.2 ベースのリリース |
リビルド |
メンテナンス |
12.2MC |
12.2(15)MC2c |
|
12.2ZJ |
脆弱性あり、12.3(4)T13以降に移行 |
|
該当する 12.3 ベースのリリース |
リビルド |
メンテナンス |
12.3T |
12.3(4)T13 |
|
12.3(7)T11 |
||
12.3(8)T10 |
||
12.3(11)T6 |
||
脆弱性あり。12.3(14)については、12.4(1b)以降に移行してください。 |
||
12.3XD |
脆弱性あり、12.3(7)T11以降に移行 |
|
12.3XX |
脆弱性あり、12.4(1b)以降に移行 |
|
12.3XY |
脆弱性あり、12.4(1b)以降に移行 |
|
12.3YA |
脆弱性あり。TACに連絡 |
|
12.3YD |
脆弱性あり、12.4(2)T5以降に移行 |
|
12.3YF |
脆弱性あり、12.3(14)YX以降に移行 |
|
12.3YG |
12.3(14)YG5 |
|
12.3YH |
脆弱性あり、12.4(2)T5以降に移行 |
|
12.3YI |
脆弱性あり、12.4(2)T5以降に移行 |
|
12.3YJ |
脆弱性あり、12.3(14)YQ8以降に移行 |
|
12.3YK |
脆弱性あり、12.4(4)T以降に移行 |
|
12.3YM |
12.3(14)YM8 |
|
12.3YQ |
12.3(14)YQ8 |
|
12.3YS |
脆弱性あり、12.4(4)T以降に移行 |
|
12.3YT |
脆弱性あり、12.4(4)T以降に移行 |
|
12.3YU |
脆弱性あり、12.4(2)XB以降に移行 |
|
該当する 12.4 ベースのリリース |
リビルド |
メンテナンス |
12.4 |
12.4(1b) |
12.4(3) |
12.4MR |
12.4(4)MR |
|
12.4T |
12.4(2)T5 |
12.4(4)T |
推奨事項
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。
この脆弱性は、お客様からシスコに報告されたものです。
URL
改訂履歴
リビジョン 1.0 |
2006年9月20日 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。