Cisco IOSソフトウェアのSession Initiation ProtocolにおけるDoS脆弱性

概要

Cisco IOSソフトウェアおよびCisco IOS XEソフトウェアのSession Initiation Protocol(SIP)実装には複数の脆弱性があり、認証されていないリモートの攻撃者が該当デバイスのリロードを引き起こしたり、メモリリークを引き起こしたりして、システムが不安定になる可能性があります。脆弱性をエクスプロイトするには、該当するデバイスでSIPメッセージを処理するように設定する必要があります。

シスコはこれらの脆弱性に対処するソフトウェアアップデートをリリースしています。SIPを実行する必要があるデバイスに対する回避策はありませんが、脆弱性の発現を制限する対応策があります。

このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20110928-sip で公開されています。

注： 2011年9月28日のCisco IOSソフトウェアセキュリティアドバイザリバンドル公開には10件のCisco Security Advisoryが含まれています。9件のアドバイザリはCisco IOSソフトウェアの脆弱性に対処するもので、1件はCisco Unified Communications Managerの脆弱性に対処するものです。各アドバイザリには、このアドバイザリで説明されている脆弱性を修正したCisco IOSソフトウェアリリースと、2011年9月のバンドル公開のすべての脆弱性を修正したCisco IOSソフトウェアリリースが記載されています。

個々の公開リンクは、次のリンクの「Cisco Event Response: Semiannual Cisco IOS Software Security Advisory Bundled Publication」に掲載されています。

http://www.cisco.com/web/about/security/intelligence/Cisco_ERP_sep11.html

Cisco Unified Communications Managerは、このアドバイザリに記載されている脆弱性の1つの影響を受けます。Cisco Unified Communications Managerに影響する脆弱性に関しては、別途Cisco Security Advisoryが次の場所で公開されています。

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20110928-cucm

該当製品

脆弱性のある製品

シスコデバイスは、SIPメッセージを処理するように設定された、該当するCisco IOSソフトウェアおよびCisco IOS XEソフトウェアのバージョンを実行している場合に影響を受けます。

Cisco IOSソフトウェアの最近のバージョンでは、デフォルトではSIPメッセージは処理されません。dial-peer voice設定コマンドを発行してダイヤルピアを作成すると、SIPプロセスが開始され、Cisco IOSデバイスでSIPメッセージが処理されます。また、ePhoneなどのCisco Unified Communications Manager Expressの一部の機能も、設定されるとSIPプロセスを自動的に開始し、デバイスがSIPメッセージの処理を開始します。該当する設定の例を次に示します。

dial-peer voice <Voice dial-peer tag> voip
 ...
!

Cisco IOSデバイスの設定でdial-peerコマンドを検査してデバイスがSIPメッセージを処理できるようにするだけでなく、管理者はshow processes | | include SIPコマンドを発行して、Cisco IOSソフトウェアがSIPメッセージを処理するプロセスを実行しているかどうかを確認します。次の例では、プロセスCCSIP_UDP_SOCKETまたはCCSIP_TCP_SOCKETが存在するため、Cisco IOSデバイスがSIPメッセージを処理することが示されています。

Router# show processes | include SIP
 149 Mwe 40F48254            4          1    400023108/24000  0 CCSIP_UDP_SOCKET
 150 Mwe 40F48034            4          1    400023388/24000  0 CCSIP_TCP_SOCKET

注：Cisco IOSソフトウェアを実行しているデバイスがSIPメッセージの処理を開始する方法は複数あるため、show processes | include SIPコマンドを使用すると、特定の設定コマンドの存在に依存する代わりに、デバイスがSIPメッセージを処理しているかどうかを確認できます。

Cisco Unified Border Elementイメージも、これらの脆弱性のうち2つの影響を受けます。

注：Cisco Unified Border Element機能（CUBE、旧称Cisco Multiservice IP-to-IP Gateway）は、Ciscoマルチサービスゲートウェイプラットフォームで動作する特別なCisco IOSソフトウェアイメージです。課金、セキュリティ、コールアドミッション制御、Quality of Service(QoS)、およびシグナリングインターワーキングのためのネットワーク間インターフェイスポイントを提供します。

シスコ製品で稼働している Cisco IOS ソフトウェアリリースを確認するには、デバイスにログインして show version コマンドを使って、システムバナーを表示します。"Internetwork Operating System Software"、"Cisco IOS Software" あるいはこれらに類似するシステムバナーによってデバイスで Cisco IOS ソフトウェアが稼働していることを確認できます。その後ろにイメージ名が括弧の間に表示され、続いて "Version" と Cisco IOS ソフトウエアリリース名が表示されます。他のシスコデバイスでは、show version コマンドが存在しなかったり、別の出力が表示されたりします。

次の例は、シスコ製品がCisco IOSソフトウェアリリース15.0(1)M1を実行し、インストールされているイメージ名がC3900-UNIVERSALK9-Mであることを示しています。

Router> show version
Cisco IOS Software, C3900 Software (C3900-UNIVERSALK9-M), Version 15.0(1)M1, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2009 by Cisco Systems, Inc.
Compiled Wed 02-Dec-09 17:17 by prod_rel_team

!--- output truncated

Cisco IOSソフトウェアのリリース命名規則の追加情報は、次のURLにある『Cisco IOS and NX-OS Software Reference Guide』で確認できます。http://www.cisco.com/web/about/security/intelligence/ios-ref.html。

Cisco IOS XEソフトウェアは、これらの脆弱性の影響を受けます。

注：Cisco Unified Communications Managerは、このアドバイザリに記載されている脆弱性の1つの影響を受けます。Cisco Unified Communications Managerに影響する脆弱性に関しては、別途Cisco Security Advisoryが次の場所で公開されています。

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20110928-cucm

脆弱性を含んでいないことが確認された製品

Cisco IOSネットワークアドレス変換(NAT)およびCisco IOSソフトウェアのファイアウォール機能によって使用されるSIPアプリケーションレイヤゲートウェイ(ALG)は、これらの脆弱性の影響を受けません。

Cisco IOS XR ソフトウェアは、これらの脆弱性の影響を受けません。

他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。

詳細

SIPは、インターネットなどのIPネットワークを介した音声およびビデオコールの管理に使用される一般的なシグナリングプロトコルです。SIPは、コールのセットアップと終了のすべての側面を処理する役割を担います。音声とビデオは、SIPで処理される最も一般的なセッションタイプですが、このプロトコルには、コールのセットアップと終了を必要とする他のアプリケーションに対応できる柔軟性があります。SIPコールシグナリングでは、基本のトランスポートプロトコルとして、UDP（ポート5060）、TCP（ポート5060）、またはTransport Layer Security（TLS、TCPポート5061）を使用できます。

Cisco IOSソフトウェアのSIPの実装には複数の脆弱性があり、リモートの攻撃者が該当デバイスのリロードを引き起こしたり、システムが不安定になる可能性があるメモリリークを引き起こしたりする可能性があります。これらの脆弱性は、Cisco IOSソフトウェアを実行しているデバイスが、巧妙に細工されたSIPメッセージを処理することによって引き起こされます。この脆弱性は、デバイス宛てのトラフィックによってのみ引き起こされます。デバイスを通過するSIPトラフィックは不正利用の手段とはなりません。

注：SIPがTCPトランスポート上で実行されている場合、これらの脆弱性を不正利用するにはTCP 3ウェイハンドシェイクが必要です。

脆弱性は次のとおりです。

CSCth03022(登録ユーザ専用)により、該当デバイスのリロードが引き起こされる可能性があります。この脆弱性に対してCommon Vulnerabilities and Exposures(CVE)IDとしてCVE-2011-0939が割り当てられています。

CSCti48504(登録ユーザ専用)は、メモリリークを引き起こす可能性があります。本脆弱性の ID は CVE ID CVE-2011-3275 です。

CSCto88686(登録ユーザ専用)により、該当デバイスのメモリリークまたはリロードが発生する可能性があります。本脆弱性の ID は CVE ID CVE-2011-2072 です。

注：この脆弱性は、Cisco Unified Communications Managerにも影響します。対応するCisco Bug IDはCSCtl86047(登録ユーザ専用)です。詳細については、別途『Cisco Security Advisory for the Cisco Unified Communications Manager』を参照してください。

回避策

該当するCisco IOSデバイスでVoIPサービス用にSIPが必要な場合、SIPを無効にすることはできません。また、回避策はありません。脆弱性の発現を制限するために、緩和テクニックを適用することを推奨します。緩和策とは、正当なデバイスだけが該当するデバイスに接続できるようにすることです。効果を高めるには、この緩和策をネットワークエッジのアンチスプーフィングと組み合わせて使用する必要があります。SIPはトランスポートプロトコルとしてUDPを使用できるため、このアクションは必須です。

ネットワーク内のCiscoデバイスに適用可能な他の緩和策については、次のURLにある付属ドキュメント『Cisco Applied Mitigation Bulletin:Identifying and Mitigating Exploitation of the Multiple Vulnerabilities in Cisco Voice Products』を参照してください。https://sec.cloudapps.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20110928-voice

SIPリスニングポートの無効化

SIPを有効にする必要がないデバイスの場合、最も簡単で効果的な回避策は、デバイスのSIP処理を無効にすることです。Cisco IOSソフトウェアの一部のバージョンでは、管理者は次のコマンドを使用してSIPを無効にすることができます。

sip-ua
 no transport udp
 no transport tcp
 no transport tcp tls

warning 警告：Media Gateway Control Protocol(MGCP)またはH.323コールを処理しているデバイスにこの回避策を適用すると、アクティブコールの処理中にデバイスでSIP処理が停止されません。このような状況では、この回避策は、アクティブコールを一時的に停止できるメンテナンスウィンドウ中に実装する必要があります。

show udp connections、show tcp brief all、およびshow processes | include SIPコマンドを使用すると、この回避策を適用した後でSIP UDPポートとTCPポートが閉じていることを確認できます。

使用しているCisco IOSソフトウェアのバージョンによっては、SIPがディセーブルになっている場合にshow ip socketsコマンドの出力にSIPポートが開いていることが示される場合がありますが、それらにトラフィックを送信すると、SIPプロセスによって次のメッセージが表示されます。

*Jun 2 11:36:47.691: sip_udp_sock_process_read: SIP UDP Listener is DISABLED

コントロールプレーンポリシング

SIPサービスを提供する必要があるデバイスでは、コントロールプレーンポリシング(CoPP)を使用して、信頼できない送信元からデバイスへのSIPトラフィックをブロックすることができます。CoPP機能は、Cisco IOSリリース12.0S、12.2SX、12.2S、12.3T、12.4、および12.4Tでサポートされています。デバイスに CoPP を設定して、管理プレーンとコントロールプレーンを保護し、既存のセキュリティポリシーおよび設定に従って、インフラストラクチャのデバイスに送信される承認されたトラフィックだけを明示的に許可することで、インフラストラクチャへの直接攻撃のリスクと効果を最小限に抑えることができます。次の例は、特定のネットワーク設定に適用できます。

!-- The 192.168.1.0/24 network and the 172.16.1.1 host are trusted.
!-- Everything else is not trusted. The following access list is used
!-- to determine what traffic needs to be dropped by a control plane
!-- policy (the CoPP feature): if the access list matches (permit)
!-- then traffic will be dropped and if the access list does not
!-- match (deny) then traffic will be processed by the router.
access-list 100 deny udp 192.168.1.0 0.0.0.255 any eq 5060
access-list 100 deny tcp 192.168.1.0 0.0.0.255 any eq 5060
access-list 100 deny tcp 192.168.1.0 0.0.0.255 any eq 5061
access-list 100 deny udp host 172.16.1.1 any eq 5060
access-list 100 deny tcp host 172.16.1.1 any eq 5060
access-list 100 deny tcp host 172.16.1.1 any eq 5061
access-list 100 permit udp any any eq 5060
access-list 100 permit tcp any any eq 5060
access-list 100 permit tcp any any eq 5061

!-- Permit (Police or Drop)/Deny (Allow) all other Layer3 and Layer4
!-- traffic in accordance with existing security policies and
!-- configurations for traffic that is authorized to be sent
!-- to infrastructure devices.
!-- Create a Class-Map for traffic to be policed by
!-- the CoPP feature.
class-map match-all drop-sip-class
  match access-group 100

!-- Create a Policy-Map that will be applied to the
!-- Control-Plane of the device.
policy-map control-plane-policy
 class drop-sip-class
  drop

!-- Apply the Policy-Map to the Control-Plane of the
!-- device.
control-plane
 service-policy input control-plane-policy

注：SIPはトランスポートプロトコルとしてUDPを使用できるため、IPパケットの送信元アドレスをスプーフィングすることが可能です。これにより、信頼できるIPアドレスからこれらのポートへの通信を許可するAccess Control List（ACL；アクセスコントロールリスト）がバイパスされる場合があります。

上記のCoPPの例では、access control entries（ACE；アクセスコントロールエントリ）の潜在的な悪用パケットに「permit」アクションが一致する場合、これらのパケットはポリシーマップの「drop」機能によって廃棄されますが、「deny」アクション（非表示）に一致するパケットは、ポリシーマップのdrop機能の影響を受けません。CoPP 機能の設定と使用に関する詳細は、http://www.cisco.com/web/about/security/intelligence/coppwp_gs.html および http://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gtrtlimt.html を参照してください。

修正済みソフトウェア

アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレードソリューションを確認してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center（TAC）または契約を結んでいるメンテナンスプロバイダーにお問い合せください。

また、Cisco IOS Software Checkerは、https://sec.cloudapps.cisco.com/security/center/selectIOSVersion.xのCisco Security(SIO)ポータルでも入手できます。特定のバージョンのCisco IOSソフトウェアに影響を与えるセキュリティアドバイザリを確認するための機能がいくつかあります。