Cisco IOS Session Initiation Protocolのサービス拒否に関する複数の脆弱性

Cisco IOSのSession Initiation Protocol(SIP)実装には複数の脆弱性が存在し、リモートから悪用されてメモリリークをトリガーしたり、IOSデバイスのリロードを引き起こしたりすることができます。

シスコはこれらの脆弱性に対処するソフトウェアアップデートをリリースしています。「ソフトウェアバージョンと修正」セクションに記載されている修正済みのCisco IOSソフトウェアには、このアドバイザリで説明されているすべての脆弱性に対する修正が含まれています。

管理者がCisco IOSデバイスでVoice over IP(VoIP)サービスを提供する必要がない場合、プロトコルまたは機能自体を無効にする以外に、これらの脆弱性の影響を緩和する回避策はありません。

このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-sip で公開されています。

注：2008年9月24日のIOSアドバイザリバンドル公開には12件のSecurity Advisoryが含まれています。11件のアドバイザリはCisco IOSソフトウェアの脆弱性に対処するもので、1件はCisco Unified Communications Managerの脆弱性に対処するものです。各アドバイザリには、このアドバイザリで説明されている脆弱性を修正するリリースが記載されています。

各ドキュメントへのリンクは次のとおりです。

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-iosips
  
• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-ssl
  
• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-cucm
  
• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-vpn
  
• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-mfi
  
• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-ipc
  
• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-ubr
  
• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-multicast
  
• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-sccp
  
• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-iosfw
  
• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080924-l2tp
  

SIPは、インターネットなどのIPネットワークを介した音声およびビデオコールの管理に使用される一般的なシグナリングプロトコルです。SIPは、コールのセットアップと終了のすべての側面を処理する役割を担います。SIPで処理される最も一般的なセッションタイプは音声とビデオですが、このプロトコルは、コールのセットアップと終了を必要とする他のアプリケーションにも柔軟に対応します。SIPコールシグナリングでは、基本のトランスポートプロトコルとしてUDP（ポート5060）、TCP（ポート5060）、またはTLS（TCPポート5061）を使用できます。

Cisco IOSのSIP実装には、サービス拒否の脆弱性が複数存在します。いずれの場合も、脆弱性は有効なSIPメッセージの処理によって引き起こされる可能性があります。

メモリリークの脆弱性

CSCse56800(登録ユーザ専用)により、該当するデバイスでメモリリークが発生します。メモリリークは、特定のタイプの有効なSIPメッセージの処理によって発生し、Cisco IOSデバイスが稼働している場合でも、最終的にすべての音声サービスのアベイラビリティが損なわれる可能性があります。この脆弱性に対してCommon Vulnerabilities and Exposures(CVE)IDとしてCVE-2008-3799が割り当てられています。

デバイスリロードの脆弱性

次の脆弱性により、特定の有効なSIPメッセージの処理中にCisco IOSデバイスがリロードされる可能性があります。

• CSCsg91306(登録ユーザ専用)、CVE IDとしてCVE-2008-3800を割り当て
  
• CSCsl62609(登録ユーザ専用)、CVE IDとしてCVE-2008-3801が割り当てられています。
  
• CSCsk42759(登録ユーザ専用)、CVE IDとしてCVE-2008-3802を割り当て
  

該当するCisco IOSデバイスでVoice over IP(VoIP)サービスを提供する必要があり、そのためにSIPを無効にできない場合は、上記の脆弱性に対する回避策はありません。これらの脆弱性による影響を制限するために、いくつかの緩和策を適用することを推奨いたします。その緩和策とは、適切なデバイスのみがルータに接続できるように設定することです。効果を高めるには、この緩和策をネットワークエッジのアンチスプーフィングと組み合わせて使用する必要があります。SIPはトランスポートプロトコルとしてUDPを使用できるため、このアクションは必須です。

ネットワーク内のCiscoデバイスに適用可能な他の緩和策については、このアドバイザリに関連するCisco適用対応策速報(https://sec.cloudapps.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20080924-sip)を参照してください。

SIPリスニングポートの無効化

SIPを有効にする必要がないデバイスの場合、最も簡単で効果的な回避策は、デバイスのSIP処理を無効にすることです。Cisco IOSの一部のバージョンでは、管理者は次のコマンドを使用してこれを実行できます。

sip-ua
 no transport udp
 no transport tcp

警告： MGCPまたはH.323コールを処理しているデバイスにこの回避策を適用すると、アクティブコールの処理中にデバイスでSIP処理を停止できなくなります。このような状況では、この回避策は、アクティブコールを一時的に停止できるメンテナンスウィンドウ中に実装する必要があります。

この回避策を適用した後は、「脆弱性のある製品」セクションで説明されているshowコマンドを使用して、Cisco IOSデバイスがSIPメッセージを処理していないことを確認することを推奨します。

コントロール プレーン ポリシング

SIPサービスを提供する必要があるデバイスでは、コントロールプレーンポリシング(CoPP)を使用して、信頼できない送信元からデバイスへのSIPトラフィックをブロックすることができます。Cisco IOS ソフトウェア リリース 12.0S、12.2SX、12.2S、12.3T、12.4、および 12.4T は、CoPP 機能をサポートしています。デバイスに CoPP を設定して、管理プレーンとコントロール プレーンを保護し、既存のセキュリティ ポリシーおよび設定に従って、インフラストラクチャのデバイスに送信される承認されたトラフィックだけを明示的に許可することで、インフラストラクチャへの直接攻撃のリスクと効果を最小限に抑えることができます。次の例をネットワークに適用できます。

!-- The 192.168.1.0/24 network and the 172.16.1.1 host are trusted.
!-- Everything else is not trusted. The following access list is used
!-- to determine what traffic needs to be dropped by a control plane
!-- policy (the CoPP feature.) If the access list matches (permit)
!-- then traffic will be dropped and if the access list does not
!-- match (deny) then traffic will be processed by the router.

access-list 100 deny udp 192.168.1.0 0.0.0.255 any eq 5060
access-list 100 deny tcp 192.168.1.0 0.0.0.255 any eq 5060
access-list 100 deny tcp 192.168.1.0 0.0.0.255 any eq 5061
access-list 100 deny udp host 172.16.1.1 any eq 5060
access-list 100 deny tcp host 172.16.1.1 any eq 5060
access-list 100 deny tcp host 172.16.1.1 any eq 5061
access-list 100 permit udp any any eq 5060
access-list 100 permit tcp any any eq 5060
access-list 100 permit tcp any any eq 5061


!-- Permit (Police or Drop)/Deny (Allow) all other Layer3 and Layer4
!-- traffic in accordance with existing security policies and
!-- configurations for traffic that is authorized to be sent
!-- to infrastructure devices.



!-- Create a Class-Map for traffic to be policed by
!-- the CoPP feature.

class-map match-all drop-sip-class
  match access-group 100


!-- Create a Policy-Map that will be applied to the
!-- Control-Plane of the device.

policy-map drop-sip-traffic
 class drop-sip-class
  drop


!-- Apply the Policy-Map to the Control-Plane of the
!-- device.

control-plane
 service-policy input drop-sip-traffic

警告： SIPはトランスポートプロトコルとしてUDPを使用できるため、送信者のIPアドレスを簡単にスプーフィングして、信頼できるIPアドレスからこれらのポートへの通信を許可するACLを無効にできる可能性があります。

上記の CoPP の例では、"permit" アクションであるアクセスコントロールリストエントリ (ACE) に該当し、攻撃である可能性のあるパケットは、policy-map の "drop" 機能により廃棄されますが、一方、"deny" アクション(記載されていません)に該当するパケットは、policy-map の "drop" 機能の影響を受けません。CoPP 機能の設定と使用に関する詳細は、http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6642/prod_white_paper0900aecd804fa16a.html および http://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gtrtlimt.html を参照してください。

アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center（TAC）または契約を結んでいるメンテナンス プロバイダーにお問い合せください。

Cisco IOS ソフトウェアの表（下掲）の各行には、Cisco IOS のリリース トレインが記載されています。特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース（および、それぞれの予想提供日）が表の「第 1 修正済みリリース」列に記載されます。「推奨リリース」列には、このアドバイザリが作成された時点で発表されているすべての脆弱性の修正を含むリリースが記載されます。特定の列に記されているリリースよりも古い（第 1 修正済みリリースより古い）トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。表の「推奨リリース」列に記載されているリリース、またはそれよりも新しいリリースにアップグレードすることを推奨します。

Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。

これらの脆弱性は、シスコの社内テストおよびお客様からのサービスリクエストの処理中に発見されたものです。