非DOCSISプラットフォームで有効になっているDOCSIS読み取り/書き込みコミュニティストリング

脆弱性は、Cisco IAD2400シリーズ、1900シリーズモバイルワイヤレスエッジルータ、およびCisco VG224アナログ電話ゲートウェイで実行されている特定のCisco IOS ^®ソフトウェアリリーストレインに存在します。脆弱性のあるバージョンでは、デバイスでSNMPが有効になっている場合、デフォルトのハードコードされたSimple Network Management Protocol(SNMP)コミュニティストリングが含まれている場合があります。デフォルトのコミュニティストリングは、これらのデバイスがData Over Cable Service Interface Specification(DOCSIS)準拠のサポートインターフェイスとして誤って認識された結果です。このエラーの結果、デバイスがSNMP管理用に設定されている場合、読み取り/書き込みコミュニティストリングがさらに有効になる可能性があり、知識を持つ攻撃者がデバイスへの特権アクセスを取得できる可能性があります。

シスコでは、該当するお客様用に、この脆弱性に対応する無償ソフトウェアを提供しています。この脆弱性に対しては、影響を緩和するための回避策があります。

このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20060920-docsis で公開されています。

Data Over Cable Service Interface Specification(DOCSIS)規格の実装により、ケーブルテレビプロバイダーが使用する物理メディアを介したデータ伝送が可能になります。したがって、RFC 2669では、DOCSIS準拠と見なされるためにサポートが必要なDOCSISケーブルデバイスMIB（DOCS-CABLE-DEVICE-MIBとしてよく知られています）が定義されています。このMIBは、テーブルdocsDevNmAccessTableを次のように定義します。

"This table controls access to SNMP objects by network
management stations. If the table is empty, access
to SNMP objects is unrestricted.  This table exists only
on SNMPv1 or v2c agents and does not exist on SNMPv3
agents. See the conformance section for details.
Specifically, for v3 agents, the appropriate MIBs and
security models apply in lieu of this table."

DOCSIS標準に準拠し、SNMPオブジェクトへの無制限のアクセスを回避するために、DOCSISをサポートするシスコデバイスには、読み取り/書き込みコミュニティストリング「cable-docsis」が含まれています。

このSNMPコミュニティストリングを含めることは、DOCSIS準拠のケーブル対応デバイスのみを対象としています。該当するプラットフォームで実行されているCisco IOSリリーストレインでこのコミュニティストリングを不注意でイネーブルにしてしまうと、脆弱性が存在します。

これらのプラットフォームで脆弱性のあるバージョンのCisco IOSソフトウェアを実行しているお客様は、追加の読み取り/書き込み(RW)コミュニティストリングを知らない可能性があります。

この脆弱性は、Cisco IAD2400シリーズおよびCisco VG224 Analog Phone GatewayではCisco Bug ID CSCsb04965(登録ユーザ専用)、1900シリーズモバイルワイヤレスエッジルータではCSCsb06658(登録ユーザ専用)として文書化されています。

回避策の効果は、製品の組み合わせ、ネットワークトポロジ、トラフィックの動作、組織のミッションなど、お客様の状況によって異なります。該当する製品とリリースは多岐に渡るので、サービス プロバイダーやサポート機関に連絡し、ネットワーク内で使用するのに最も適した回避策を確認してから、実際に配備することを推奨いたします。

アンチスプーフィング方式によって、スプーフィングされたソース攻撃がネットワークに侵入するのを常に防止し、なおかつ、影響を受ける可能性のあるすべてのデバイスに次のアクセスリストを設定する場合は、次の回避策を長期的なソリューションとしてのみ検討する必要があります。

SNMPサーバの無効化

SNMPサーバがデバイスで正当な目的に使用されていない場合は、コンフィギュレーションモードで次のコマンドを発行して無効にすることをお勧めします。

no snmp-server

コンフィギュレーションコマンドno snmp-server community <string> roを使用してパブリックコミュニティストリングを削除しても、SNMPサーバは稼働を続け、デバイスは脆弱であるため、十分ではありません。代わりにno snmp-serverコマンドを使用する必要があります。SNMPサーバのステータスは、enableコマンドshow snmpを使用して確認できます。「%SNMP agent not enabled」という応答が表示されるはずです。

この回避策は、デバイスの管理にSNMPが使用されていない場合にのみ有効です。

コミュニティマップによるアクセスの制限

コミュニティマップを作成する機能は、Cisco IOSバージョン12.0(23)S、12.2(25)S、および12.3(2)Tで導入されました。この機能により、SNMPコミュニティと、デフォルト設定とは異なるSNMPコンテキスト、エンジンID、またはセキュリティ名との間のマッピングを作成する機能が追加されます。

SNMPコミュニティをSNMPコンテキストに関連付けると、このコミュニティから要求が行われるたびに、指定されたコンテキストに適用されます。この機能を使用して、SNMPコミュニティの送信元アドレス検証を指定することもできます。

以下のようになります。

Router(config)#access-list 65 remark Deny access to community string
Router(config)#access-list 65 deny   any
Router(config)#snmp-server community no-access RO 65
Router(config)#snmp mib community-map  cable-docsis security-name no-access

上記により、「no-access」という名前の新しいコミュニティが作成されます。コミュニティ「no-access」を使用する認可はアクセスリストによって制御され、この場合はすべてのホストによる使用が拒否されます。snmp mib community-mapコマンドの追加により、「cable-docsis」の現在のコミュニティストリングは、新しいコミュニティストリング「no-access」のアクセス制限の対象となり、「cable-docsis」コミュニティストリングの使用ができなくなります。

コントロール プレーン ポリシング

Cisco IOSリリーストレイン12.0S、12.2SX、12.2S、12.3T、12.4、および12.4Tでは、コントロールプレーンポリシング(CoPP)がサポートされています。CoPPは、管理プレーンとコントロールプレーンを標的とする攻撃からデバイスを保護するように設定できます。次の例をネットワークに適用できます。この例では、すべてのSNMPアクセスがIPアドレス10.1.1.1の管理ステーションに制限され、管理ステーションはルータのIPアドレス192.168.10.1とだけ通信する必要があると仮定しています。

access-list 111 deny udp host 10.1.1.1 host 192.168.10.1 eq snmp
access-list 111 permit udp any any eq snmp
access-list 111 deny ip any any
!
class-map match-all drop-snmp-class
 match access-group 111
!
!
policy-map drop-snmp-policy
 class drop-snmp-class
   drop
!
control-plane
 service-policy input drop-snmp-policy

Cisco IOSトレイン12.0S、12.2S、および12.2SXでは、ポリシーマップの構文が異なることに注意してください。

policy-map drop-snmp-policy
 class drop-snmp-class
  police 32000 1500 1500 conform-action drop exceed-action drop

上記のCoPPの例では、ACLエントリの「permit」アクションに一致する悪用パケットがある場合、このようなパケットはポリシーマップの「drop」機能によって廃棄されますが、「deny」アクションに一致するパケットは、ポリシーマップのdrop機能の影響を受けません。

CoPP 機能の設定と使用方法についての詳細は、次の URL で確認できます。

http://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gtrtlimt.html

信頼できるホストだけにアクセスを制限する

アクセスコントロールリスト(ACL)を使用して、デバイスへのトラフィックを拒否できます。Cisco IOSデバイスには、コミュニティストリングごとにSNMP要求の送信元アドレスをチェックするコミュニティストリングアクセスリストがありますが、この場合はcable-docsisコミュニティストリングは設定オプションを介して変更または削除できないため、機能しません。

インターフェイスACLを使用して、信頼できるIPアドレスからルータへのUDPトラフィックを許可することができます。

注：SNMPはUDPに基づいているため、送信元のIPアドレスをスプーフィングして、信頼できるIPアドレスからこれらのポートへの通信を許可するACLを無効にできる可能性があります。

次の拡張アクセスリストをネットワークに適用できます。次の例での前提事項は、ルータのインターフェイスに IP アドレス 192.168.10.1 および 172.16.1.1 が設定されていること、すべての SNMP アクセスが IP アドレス 10.1.1.1 の管理ステーションに限定されていること、およびその管理ステーションが IP アドレス192.168.10.1とだけ通信する必要があることです。

access-list 101 permit udp host 10.1.1.1 host 192.168.10.1 eq snmp
access-list 101 deny udp any host 192.168.10.1 eq snmp
access-list 101 deny udp any host 172.16.1.1 eq snmp
access-list 101 permit ip any any

その後、次の設定コマンドを使用して、すべてのインターフェイスにaccess-listを適用する必要があります。

interface FastEthernet 0/0
ip access-group 101 in

ルータがSNMPパケットを受け入れて処理することを防ぐため、ポート161(SNMP)へのUDPトラフィックは、ルータの各IPアドレスに対して明示的にブロックする必要があることに注意してください。未知のホストからポート161へのトラフィックをブロックすることがベストプラクティスと考えられています。ポート161でルータと直接通信する必要があるすべてのデバイスは、上記のアクセスリストに具体的に記載する必要があります。

IP アドレスが多数設定されているデバイス、またはルータと通信する必要がある多数のホストでは、この方法はスケーラブルなソリューションでない場合があります。

インフラストラクチャ ACL（iACL）

ネットワークを移動するトラフィックをブロックするのは往々にして困難ですが、インフラストラクチャ デバイスに送られてはならないトラフィックを識別し、ネットワークの境界でそのトラフィックをブロックすることは可能です。インフラストラクチャ ACL はネットワーク セキュリティのベスト プラクティスと考えられており、ここでの特定の脆弱性の回避策としてだけでなく、優れたネットワーク セキュリティへの長期的な付加機能として考慮する必要があります。ホワイトペーパー『Protecting Your Core: Infrastructure Protection Access Control Lists』では、iACLのガイドラインと推奨される導入方法について説明しています。

http://www.cisco.com/en/US/tech/tk648/tk361/technologies_white_paper09186a00801a1a55.shtml

アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center（TAC）または契約を結んでいるメンテナンス プロバイダーにお問い合せください。

Cisco IOS ソフトウェアの表（下掲）の各行には、リリース トレインとそれに対応するプラットフォームまたは製品が記載されています。特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース（「第 1 修正済みリリース」）とそれぞれの提供日が「リビルド」列と「メンテナンス」列に記載されます。特定の列に記されているリリースよりも古い（第 1 修正済みリリースより古い）トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。このようなリリースは、少なくとも、示されているリリース以上（最初の修正リリース ラベル以上）にアップグレードしてする必要があります。

「リビルド」および「メンテナンス」という用語の詳細については、次のURLを参照してください。http://www.cisco.com/warp/public/620/1.html

Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。

この脆弱性は、お客様からシスコに報告されたものです。