Medium
Medium
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco Wireless LAN Controller(WLC; ワイヤレス LAN コントローラ)の Address Resolution Protocol(ARP; アドレス解決プロトコル)パケットの処理方法に複数の脆弱性が存在し、環境によっては Denial of Service(DoS; サービス拒否)が発生する可能性があります。
Cisco ではお客様とパートナーに対してこの脆弱性を通知し、該当するお客様用に、この脆弱性に対応する無償ソフトウェアを提供しております。これらの脆弱性に対しては、影響を緩和するための回避策があります。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20070724-arp で公開されています。
該当製品
特に明記されていない限り、このドキュメントで説明されている脆弱性はバージョン 4.1、4.0、3.2、およびそれ以前のバージョンの Wireless LAN Controller ソフトウェアに該当します。この脆弱性に対する修正を含む最も古いソフトウェア リリースを確認するには、このアドバイザリの「ソフトウェア バージョンと修正」のセクションを参照してください。
特定のデバイスで実行されている WLC システム ソフトウェアのバージョンは、次のいずれかの方法で確認できます。
-
Web インターフェイスで Monitor タブを選択し、左側のペインで Summary をクリックし、「Software Version」を確認します。
-
コマンドライン インターフェイスで「show sysinfo」と入力し、「Product Version」を確認します。
脆弱性のある製品
脆弱性を含むバージョンのソフトウェアは、次のハードウェア プラットフォームで稼働している可能性があります。
-
Cisco 4100 シリーズ ワイアレス LAN コントローラ
-
Cisco 4400 シリーズ ワイアレス LAN コントローラ
-
Cisco Airespace 4000 シリーズ ワイヤレス LAN コントローラ
-
Cisco Catalyst 6500 シリーズ ワイヤレス サービス モジュール(WiSM)
-
Cisco Catalyst 3750 シリーズ Integrated Wireless LAN Controller
脆弱性を含んでいないことが確認された製品
次のハードウェア プラットフォームは、この脆弱性には該当しません。
-
Cisco 2000 シリーズ ワイアレス LAN コントローラ
-
Cisco 2100 シリーズ ワイアレス LAN コントローラ
-
Cisco Airespace 3500 シリーズ WLAN コントローラ
-
Cisco 526 Wireless Express Mobility Controller
-
Cisco Wireless LAN Controller Module(NM-AIR-WLC6-K9、NME-AIR-WLC8-K9、NME-AIR-WLC12-K9)
-
1100 シリーズ、1200 シリーズ、AP340/350 などのスタンドアロン アクセス ポイント
-
Cisco 3800 シリーズ サービス統合型ルータ
-
Cisco 2800 シリーズ サービス統合型ルータ
-
Cisco 1800 シリーズ Integrated Services Router
-
Cisco 800 シリーズ ルータ
詳細
Cisco Wireless LAN Controller は、Lightweight アクセス ポイント間および Wireless LAN Controller 間のリアルタイム通信を可能にし、システム全体にわたる中央集中型の WLAN 設定および管理を実現する製品です。
ARP は、ローカル ネットワーク上のデバイスの IP アドレスとそのハードウェア アドレスをマッピングするプロトコルです。
WLC のユニキャスト ARP トラフィックの処理方法には脆弱性があり、同じモビリティ グループ内の Wireless LAN Controller 間の LAN リンクに、ユニキャスト ARP 要求がフラッディングされる可能性があります。
RFC4436 では、IP バージョン 4 ホストが以前に接続していたネットワークに再接続した場合の、ホストの検出方法について定義しています。このような場合、現在のリース期間がまだ有効であれば、新しい DHCP アドレス リースを要求する必要はありません。再接続であることを確認するため、ホストはこれまで使用していたデフォルト ゲートウェイのアドレス宛てに、ユニキャスト ARP 要求を送信します。
脆弱性を含む WLC は、ワイヤレス クライアントからのユニキャスト ARP 要求を誤って処理する可能性があり、その結果 ARP ストームが発生します。この脆弱性が露呈するのは、2 台の WLC が同一のレイヤ 2 VLAN セットに接続していて、それぞれがワイヤレス クライアントのコンテキストを保持する場合です。これが発生するのは、レイヤ 3(サブネット間)ローミングの後、またはゲスト WLAN(auto-anchor)を使用しているときです。
クライアントが、レイヤ 2 インフラストラクチャで学習されていない MAC アドレスを宛先としたユニキャスト ARP 要求を送信した場合、その要求は WLC から送出された後、レイヤ 2 ドメイン内の全ポートにフラッディングされます。この結果、2 台目の WLC が ARP 要求を再処理し、このパケットを誤って再転送しネットワークに戻してしまう可能性があります。この脆弱性は、CSCsj69233(登録ユーザ専用)として文書化されています。
arpunicast 機能が有効になっている WLC は、宛先が既知のクライアント コンテキストの IP アドレスであるブロードキャスト ARP パケットを再転送します。そのため、対応する VLAN に複数の WLC が設置されている場合、ARP ストームが発生します。この脆弱性は、CSCsj50374(登録ユーザ専用)として文書化されており、WLCソフトウェアのバージョン4.1のみに影響します(バージョン4.0、3.2、またはそれ以前のバージョンは影響を受けません)。
レイヤ 3(L3)ローミングでは、ワイヤレス クライアントが 1 台のコントローラから別のコントローラに移動しますが、移動先のコントローラと移動元のコントローラに設定されているワイヤレス LAN インターフェイスは、それぞれ別の IP サブネットに所属しています。この場合、ユニキャスト ARP がアンカー コントローラにトンネリングで戻されることはありませんが、外部のコントローラによってユニキャスト ARP がローカル VLAN に送出される可能性があります。この脆弱性は、CSCsj70841(登録ユーザ専用)として文書化されています。
注:4.1よりも前のバージョンのソフトウェアでは、レイヤ3ローミングを実行したワイヤレスクライアントからのユニキャストARP要求が外部WLCでドロップされていました。この動作は、CSCsj70841(登録ユーザ専用)で修正されています。
回避策
セキュリティを強化するため、すべてのクライアントが DHCP サーバから IP アドレスを取得するように運用することを推奨します。この要件を強制するには、すべての WLAN に DHCP Required を設定します。これにより、クライアントの固定 IP アドレスが使用できなくなります。DHCP Required を選択した場合、クライアントは必ず DHCP で IP アドレスを取得する必要があります。固定 IP アドレスが割り当てられたクライアントはネットワークに接続することができません。コントローラはクライアントの DHCP プロキシとして機能するので、DHCP トラフィックを監視します。
通常、この回避策は、ネットワークの参加方式として RFC4436 のメカニズムを採用しているワイヤレス クライアントに有効です。この回避策は、ARP ストームを発生させるためのパケットを意図的に作成する試みに対しては効果がありません。
CSCsj50374(登録ユーザ専用)に関連する脆弱性の不正利用を経験しているお客様は、CLIを使用して、arpunicast処理を無効にするようにWLCを設定できます。
config network arpunicast disable
このセクションでは、WLAN で DHCP サーバを使用するための GUI および CLI での設定方法について説明します。
GUI による DHCP の設定
-
Web ユーザ インターフェイスで、WLAN ページに移動します。
-
DHCP サーバを設定する WLAN を探し、対応する Edit リンクをクリックして、WLAN > Edit ページを表示します。
-
General Policies の下で、DHCP Relay/DHCP Server IP Addr チェックボックスをオンにして、WLAN に正しい DHCP サーバが割り当てられているかどうかを確認します。WLAN に DHCP サーバが割り当てられていない場合は、手順 4 に進みます。割り当てられている場合は、手順 9 に進みます。
-
General Policies の下で、Admin Status チェックボックスをオフにします。
-
Apply をクリックして、WLAN を無効にします。
-
DHCP Relay/DHCP Server IP Addr 編集ボックスに、この WLAN の DHCP サーバの正しい IP アドレスを入力します。
-
General Policies の下で、Admin Status チェックボックスをオンにします。
-
Apply をクリックして、WLAN に DHCP サーバを割り当て、WLAN を有効にします。WLAN ページに戻ります。
-
WLAN ページの右上隅にある Ping をクリックし、DHCP サーバの IP アドレスを入力し、WLAN が DHCP サーバと通信できることを確認します。
CLI による DHCP の設定
-
CLI で「show wlan」と入力し、WLAN に正しい DHCP サーバが割り当てられているかどうかを確認します。WLAN に DHCP サーバが割り当てられていない場合は、手順 2 に進みます。割り当てられている場合は、手順 4 に進みます。
-
必要に応じて、次のコマンドを使用します。
config wlan disable
config wlan dhcp_server config wlan enable
-
「show wlan」と入力し、WLAN に DHCP サーバが割り当てられていることを確認します。
-
「ping dhcp-ip-address」と入力して、WLAN が DHCP サーバと通信できることを確認します。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
メジャー リリース |
修正済みリリースの入手可能性 |
---|---|
3.2 |
3.2.195.13 |
4.0 |
4.0.219.0 |
4.1 |
4.1.181.0 |
推奨事項
不正利用事例と公式発表
このアドバイザリで説明されている脆弱性の悪用に関する情報は Cisco PSIRT に寄せられていません。
これらの脆弱性は、お客様から Cisco に報告されたものです。
URL
改訂履歴
リビジョン 1.1 |
2007 年 7 月 31 日 |
修正済みソフトウェアのバージョン情報の更新 |
リビジョン 1.0 |
2007 年 7 月 24 日 |
初版リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。