High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco IOS®ソフトウェアのSession Initiation Protocol(SIP)実装には脆弱性があり、Cisco Unified Border Element機能が有効になっている場合に、認証されていない攻撃者が該当デバイスにサービス妨害(DoS)状態を引き起こす可能性があります。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。SIPを実行する必要があるデバイスには回避策はありませんが、脆弱性の発現を抑える対応策があります。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20090923-sip で公開されています。
注:2009年9月23日のCisco IOSセキュリティアドバイザリバンドル公開には11件のSecurity Advisoryが含まれています。10 件のアドバイザリは Cisco IOS ソフトウェアの脆弱性に対処するもので、 1 件は Cisco Unified Communications Manager の脆弱性に対処するものです。各アドバイザリには、そのアドバイザリで詳述された脆弱性を解決するリリースを記載しています。
個々の公開リンクは、次のリンクの「Cisco Event Response: Semiannual Cisco IOS Software Advisory Bundled Publication」に掲載されています。
http://www.cisco.com/web/about/security/intelligence/Cisco_ERP_ sep09.html
該当製品
この脆弱性の影響を受けるのは、SIP音声サービスが有効になっているCisco IOSソフトウェアを実行しているデバイスだけです。
脆弱性のある製品
Cisco Unified Border Element機能を使用してSIPメッセージを処理するように設定されている、該当するCisco IOSソフトウェアバージョンを実行しているシスコデバイスが影響を受けます。SIPおよびCisco Unified Border Element機能が設定されていないCisco IOSデバイスは、この脆弱性の影響を受けません。
注:Cisco Unified Border Element機能(旧名称Cisco Multiservice IP-to-IP Gateway)は、Ciscoマルチサービスゲートウェイプラットフォームで動作する特別なCisco IOSソフトウェアイメージです。課金、セキュリティ、コールアドミッション制御、Quality of Service(QoS)、およびシグナリングインターワーキングのためのネットワーク間インターフェイスポイントを提供します。
Cisco Unified Border Element機能には、voice service voipコマンドとallow-connectionsサブコマンドが必要です。該当する設定の例を次に示します。
voice service voip allow-connections from-type to to-type ... !
Cisco IOSソフトウェアの最近のバージョンでは、デフォルトではSIPメッセージは処理されません。dial-peer voiceコマンドを発行してダイヤルピアを作成すると、SIPプロセスが開始され、Cisco IOSデバイスでSIPメッセージが処理されます。また、ePhoneなどのCisco Unified Communications Manager Expressの一部の機能を設定すると、SIPプロセスが自動的に開始されるため、デバイスはSIPメッセージの処理を開始します。該当する設定の例を次に示します。
dial-peer voice <Voice dial-peer tag> voip ... !
Cisco IOSデバイスの設定を調べてダイヤルピアコマンドを検出すると、デバイスでSIPメッセージが処理されるだけでなく、管理者はshow processesコマンドを使用することもできます | include SIPコマンドを実行して、Cisco IOSソフトウェアがSIPメッセージを処理するプロセスを実行しているかどうかを確認します。次の例では、プロセスCCSIP_UDP_SOCKETまたはCCSIP_TCP_SOCKETが存在することから、Cisco IOSデバイスがSIPメッセージを処理していることがわかります。
Router#show processes | include SIP 149 Mwe 40F48254 4 1 400023108/24000 0 CCSIP_UDP_SOCKET 150 Mwe 40F48034 4 1 400023388/24000 0 CCSIP_TCP_SOCKET
警告:Cisco IOSソフトウェアを実行しているデバイスがSIPメッセージの処理を開始する方法は複数あるため、show processes | include SIPコマンドを使用すると、特定の設定コマンドの存在に依存する代わりに、デバイスがSIPメッセージを処理しているかどうかを確認できます。
シスコ製品で稼働している Cisco IOS ソフトウェア リリースを確認するには、デバイスにログインして show version コマンドを使って、システム バナーを表示します。"Internetwork Operating System Software"、"Cisco IOS Software" あるいはこれらに類似するシステム バナーによってデバイスで Cisco IOS ソフトウェアが稼働していることを確認できます。 その後ろにイメージ名が括弧の間に表示され、続いて "Version" と Cisco IOS ソフトウエア リリース名が表示されます。他のシスコ デバイスでは、show version コマンドが存在しなかったり、別の出力が表示されたりします。
以下の例は、Cisco 製品にて、IOSリリース 12.3(26) が稼動し、そのイメージ名が C2500-IS-L であることを示しています:
Router#show version Cisco Internetwork Operating System Software IOS (tm) 2500 Software (C2500-IS-L), Version 12.3(26), RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2008 by cisco Systems, Inc. Compiled Mon 17-Mar-08 14:39 by dchih !--- output truncated
次の例は、インストールされたイメージ名が C1841-ADVENTERPRISEK9-M で、Cisco IOS ソフトウェア リリース 12.4(20)T を実行しているシスコ製品を示しています。
Router#show version Cisco IOS Software, 1841 Software (C1841-ADVENTERPRISEK9-M), Version 12.4(20)T, RELEASE SOFTWARE (fc3) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2008 by Cisco Systems, Inc. Compiled Thu 10-Jul-08 20:25 by prod_rel_team !--- output truncated
Cisco IOSソフトウェアリリースの命名規則の追加情報は、次のリンクの「White Paper: Cisco IOS Reference Guide」で確認できます。http://www.cisco.com/warp/public/620/1.html
脆弱性を含んでいないことが確認された製品
Cisco IOS NATおよびCisco IOSソフトウェアのファイアウォール機能によって使用されるSIPアプリケーションレイヤゲートウェイ(ALG)は、この脆弱性の影響を受けません。Cisco IOS XEソフトウェアおよびCisco IOS XRソフトウェアは、この脆弱性の影響を受けません。他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。
詳細
SIPは、インターネットなどのIPネットワークを介した音声およびビデオコールの管理に使用される一般的なシグナリングプロトコルです。SIPは、コールのセットアップと終了のすべての側面を処理する役割を担います。音声とビデオは、SIPで処理される最も一般的なセッションタイプですが、このプロトコルには、コールのセットアップと終了を必要とする他のアプリケーションに対応できる柔軟性があります。SIPコールシグナリングでは、基本のトランスポートプロトコルとしてUDP(ポート5060)、TCP(ポート5060)、またはTLS(TCPポート5061)を使用できます。
Cisco Unified Border Element(旧称Cisco Multiservice IP-to-IP Gateway)は、Ciscoマルチサービスゲートウェイプラットフォームで動作する特別なCisco IOSソフトウェアイメージです。課金、セキュリティ、コールアドミッション制御、Quality of Service(QoS)、およびシグナリングインターワーキングのためのネットワーク間インターフェイスポイントを提供します。
Cisco Unified Border Elementの詳細については、次のリンクを参照してください。
http://www.cisco.com/en/US/products/sw/voicesw/ps5640/index.html
デバイスがCisco Unified Border Element機能を含むCisco IOSイメージを実行している場合、Cisco IOSソフトウェアのSIP実装にDoS脆弱性が存在します。この脆弱性は、一連の巧妙に細工されたSIPメッセージを処理することによって引き起こされます。
この脆弱性は、Cisco Bug ID CSCsx25880 (登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2009-2870が割り当てられています。
回避策
該当するCisco IOSデバイスでVoIPサービス用にSIPが必要な場合、SIPを無効にすることはできません。したがって、回避策はありません。脆弱性の発現を制限するために、緩和テクニックを適用することを推奨します。緩和策は、正当なデバイスだけがルータに接続できるようにすることです。効果を高めるには、この緩和策をネットワークエッジのアンチスプーフィングと組み合わせて使用する必要があります。SIPはトランスポートプロトコルとしてUDPを使用できるため、このアクションは必須です。
ネットワーク内のCiscoデバイスに適用可能な他の対応策は、次のリンクにある付属ドキュメント『Cisco Applied Mitigation Bulletin: Identifying and Mitigating Exploitation of the Denial of Service Vulnerabilities in Cisco Unified Communications Manager and Cisco IOS Software』で参照できます。https://sec.cloudapps.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20090923-voice。
SIPリスニングポートの無効化
SIPを有効にする必要がないデバイスの場合、最も簡単で効果的な回避策は、デバイスのSIP処理を無効にすることです。Cisco IOSソフトウェアの一部のバージョンでは、管理者は次のコマンドを使用してこれを実行できます。
sip-ua no transport udp no transport tcp no transport tcp tls
警告:Media Gateway Control Protocol(MGCP)またはH.323コールを処理しているデバイスにこの回避策を適用すると、アクティブコールの処理中にデバイスでSIP処理が停止されません。このような状況では、この回避策は、アクティブコールを一時的に停止できるメンテナンスウィンドウ中に実装する必要があります。
show udp connections、show tcp brief all、およびshow processes | include SIPコマンドを使用すると、この回避策を適用した後でSIP UDPポートとTCPポートが閉じていることを確認できます。
使用しているCisco IOSソフトウェアのバージョンによっては、「show ip sockets」の出力にUDPポート5060が開いていることが示されますが、このポートに何かを送信したためにSIPプロセスが次のメッセージを表示する場合があります。
*Feb 2 11:36:47.691: sip_udp_sock_process_read: SIP UDP Listener is DISABLED
コントロール プレーン ポリシング
SIPサービスを提供する必要があるデバイスでは、コントロールプレーンポリシング(CoPP)を使用して、信頼できない送信元からデバイスへのSIPトラフィックをブロックすることができます。CoPP機能は、Cisco IOSリリース12.0S、12.2SX、12.2S、12.3T、12.4、および12.4Tでサポートされています。デバイスに CoPP を設定して、管理プレーンとコントロール プレーンを保護し、既存のセキュリティ ポリシーおよび設定に従って、インフラストラクチャのデバイスに送信される承認されたトラフィックだけを明示的に許可することで、インフラストラクチャへの直接攻撃のリスクと効果を最小限に抑えることができます。次の例は、ネットワークに適用できます
!-- The 192.168.1.0/24 network and the 172.16.1.1 host are trusted. !-- Everything else is not trusted. The following access list is used !-- to determine what traffic needs to be dropped by a control plane !-- policy (the CoPP feature.) If the access list matches (permit) !-- then traffic will be dropped and if the access list does not !-- match (deny) then traffic will be processed by the router. access-list 100 deny udp 192.168.1.0 0.0.0.255 any eq 5060 access-list 100 deny tcp 192.168.1.0 0.0.0.255 any eq 5060 access-list 100 deny tcp 192.168.1.0 0.0.0.255 any eq 5061 access-list 100 deny udp host 172.16.1.1 any eq 5060 access-list 100 deny tcp host 172.16.1.1 any eq 5060 access-list 100 deny tcp host 172.16.1.1 any eq 5061 access-list 100 permit udp any any eq 5060 access-list 100 permit tcp any any eq 5060 access-list 100 permit tcp any any eq 5061 !-- Permit (Police or Drop)/Deny (Allow) all other Layer3 and Layer4 !-- traffic in accordance with existing security policies and !-- configurations for traffic that is authorized to be sent !-- to infrastructure devices. !-- Create a Class-Map for traffic to be policed by !-- the CoPP feature. class-map match-all drop-sip-class match access-group 100 !-- Create a Policy-Map that will be applied to the !-- Control-Plane of the device. policy-map drop-sip-traffic class drop-sip-class drop !-- Apply the Policy-Map to the Control-Plane of the !-- device. control-plane service-policy input drop-sip-traffic
警告: SIPではトランスポートプロトコルとしてUDPを使用できるため、送信者のIPアドレスを簡単にスプーフィングすることが可能です。これにより、信頼できるIPアドレスからこれらのポートへの通信を許可するアクセスコントロールリスト(ACL)を無効にできる可能性があります。
上記のCoPPの例では、access control entries(ACE;アクセスコントロールエントリ)の潜在的な悪用パケットに「permit」アクションが一致する場合、これらのパケットはポリシーマップの「drop」機能によって廃棄されますが、「deny」アクション(非表示)に一致するパケットは、ポリシーマップのdrop機能の影響を受けません。CoPP 機能の設定と使用に関する詳細は、http://www.cisco.com/web/about/security/intelligence/coppwp_gs.html および http://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gtrtlimt.html を参照してください。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
Cisco IOS ソフトウェアの表(下掲)の各行には、Cisco IOS のリリース トレインが記載されています。特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース(および、それぞれの予想提供日)が表の「第 1 修正済みリリース」列に記載されます。「推奨リリース」列には、このアドバイザリが作成された時点で発表されているすべての脆弱性の修正を含むリリースが記載されます。特定の列に記されているリリースよりも古い(第 1 修正済みリリースより古い)トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。表の「推奨リリース」列に記載されているリリース、またはそれよりも新しいリリースにアップグレードすることを推奨します。
メジャー リリース |
修正済みリリースの入手可能性 |
|
---|---|---|
Affected 12.0-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
該当する12.0ベースのリリースはありません。 |
||
Affected 12.1-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
該当する12.1ベースのリリースはありません。 |
||
Affected 12.2-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
該当する12.2ベースのリリースはありません。 |
||
Affected 12.3-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
12.3(11)YK3より前のリリースには脆弱性があり、12.3(11)YK3以降のリリースには脆弱性はありません。最初の修正は12.4Tです。 |
12.4(15)T10 12.4(20)T4 12.4(22)T3 12.4(24)T2(2009年10月23日に入手可能) |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性あり(最初の修正は12.4T) 12.3(11)YS1までのリリースには脆弱性はありません。 |
12.4(15)T10 12.4(20)T4 12.4(22)T3 12.4(24)T2(2009年10月23日に入手可能) |
|
脆弱性あり(最初の修正は12.4T) |
12.4(15)T10 12.4(20)T4 12.4(22)T3 12.4(24)T2(2009年10月23日に入手可能) |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
Affected 12.4-Based Releases |
First Fixed Release(修正された最初のリリース) |
推奨リリース |
脆弱性なし |
||
12.4(24)GC1 |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性なし |
||
12.4(19)MR3 |
12.4(19)MR3 |
|
脆弱性なし |
||
12.4(24)T1 12.4(15)T10 12.4(20)T3 12.4(22)T2 |
12.4(15)T10 12.4(20)T4 12.4(22)T3 12.4(24)T2(2009年10月23日に入手可能) |
|
脆弱性あり(最初の修正は12.4T) |
12.4(15)T10 12.4(20)T4 12.4(22)T3 12.4(24)T2(2009年10月23日に入手可能) |
|
脆弱性あり(最初の修正は12.4T) |
12.4(15)T10 12.4(20)T4 12.4(22)T3 12.4(24)T2(2009年10月23日に入手可能) |
|
脆弱性あり(最初の修正は12.4T) |
12.4(15)T10 12.4(20)T4 12.4(22)T3 12.4(24)T2(2009年10月23日に入手可能) |
|
脆弱性あり(最初の修正は12.4T) |
12.4(15)T10 12.4(20)T4 12.4(22)T3 12.4(24)T2(2009年10月23日に入手可能) |
|
脆弱性あり(最初の修正は12.4T) |
12.4(15)T10 12.4(20)T4 12.4(22)T3 12.4(24)T2(2009年10月23日に入手可能) |
|
脆弱性なし |
||
脆弱性なし |
||
脆弱性あり(最初の修正は12.4T) |
12.4(15)T10 12.4(20)T4 12.4(22)T3 12.4(24)T2(2009年10月23日に入手可能) |
|
脆弱性なし |
||
12.4(15)XL5 |
||
脆弱性あり(最初の修正は12.4T) 12.4(15)XMまでのリリースには脆弱性はありません。 |
12.4(15)T10 12.4(20)T4 12.4(22)T3 12.4(24)T2(2009年10月23日に入手可能) |
|
脆弱性なし |
||
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
||
脆弱性なし |
||
脆弱性なし |
||
脆弱性あり(最初の修正は12.4T) |
12.4(15)T10 12.4(20)T4 12.4(22)T3 12.4(24)T2(2009年10月23日に入手可能) |
|
脆弱性あり。このアドバイザリの「修正済みソフトウェアの取得」セクションの手順に従って、サポート組織にお問い合わせください |
||
脆弱性あり(最初の修正は12.4T) |
12.4(15)T10 12.4(20)T4 12.4(22)T3 12.4(24)T2(2009年10月23日に入手可能) |
|
脆弱性あり(最初の修正は12.4T) |
12.4(15)T10 12.4(20)T4 12.4(22)T3 12.4(24)T2(2009年10月23日に入手可能) |
|
脆弱性あり(最初の修正は12.4T) |
12.4(15)T10 12.4(20)T4 12.4(22)T3 12.4(24)T2(2009年10月23日に入手可能) |
|
脆弱性あり(最初の修正は12.4T) |
12.4(15)T10 12.4(20)T4 12.4(22)T3 12.4(24)T2(2009年10月23日に入手可能) |
|
12.4(22)YB1 |
12.4(22)YB4 |
|
脆弱性なし |
||
脆弱性なし |
注:Cisco IOS-XEまたはCisco IOS Software Modularityリリースはこの脆弱性の影響を受けません。
推奨事項
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。
この脆弱性はシスコ内部でのテストによって発見されました。
URL
改訂履歴
リビジョン 1.0 |
2009年9月23日 |
初版リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。