High
High
アドバイザリーID : cisco-sa-20140924-sip
初公開日 : 2014-09-24 16:00
バージョン 1.0 : Final
CVSSスコア :
7.8
回避策 :
No Workarounds available
Cisco バグ ID : CSCul46586
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco IOSソフトウェアおよびCisco IOS XEソフトウェアのSession Initiation Protocol(SIP)実装における脆弱性により、認証されていないリモート攻撃者が該当デバイスのリロードを引き起こす可能性があります。この脆弱性を不正利用するには、該当デバイスがSIPメッセージを処理するように設定されている必要があります。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。
SIPを実行する必要があるデバイスに対する回避策はありませんが、この脆弱性の影響を軽減することはできます。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140924-sip
注: 2014年9月24日のCisco IOSソフトウェアセキュリティアドバイザリバンドル公開には6件のCisco Security Advisoryが含まれています。すべてのアドバイザリは、Cisco IOSソフトウェアの脆弱性に対処しています。個々の公開リンクは、次のリンクにある『Cisco Event Response: Semiannual Cisco IOS Software Security Advisory Bundled Publication』に掲載されています。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。
SIPを実行する必要があるデバイスに対する回避策はありませんが、この脆弱性の影響を軽減することはできます。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140924-sip
注: 2014年9月24日のCisco IOSソフトウェアセキュリティアドバイザリバンドル公開には6件のCisco Security Advisoryが含まれています。すべてのアドバイザリは、Cisco IOSソフトウェアの脆弱性に対処しています。個々の公開リンクは、次のリンクにある『Cisco Event Response: Semiannual Cisco IOS Software Security Advisory Bundled Publication』に掲載されています。
http://www.cisco.com/web/about/security/intelligence/Cisco_ERP_sep14.html
該当製品
脆弱性のある製品
シスコデバイスは、該当するCisco IOSソフトウェアまたはCisco IOS XEソフトウェアリリースを実行し、SIPメッセージを処理するように設定されている場合に影響を受けます。Cisco IOSソフトウェアまたはCisco IOS XEソフトウェアを実行しているデバイスがSIPメッセージの処理を開始する方法は複数あるため、show udpコマンドを使用することをお勧めします | include 5060およびshow tcp brief all | include 5060|5061を使用して、SIPポートが開いているかどうかを確認します。デフォルトでは、SIPはUDPまたはTCPポート5060で実行され、Transport Layer Security(TLS)が使用されている場合はTCPポート5061で実行されます。コマンドの出力が空でない場合は、ポートが開いているため、デバイスに脆弱性が存在します。次に例を示します。
注:SIPまたはセキュアSIPのポートがデフォルトから変更された場合、前の例では使用中の新しいポートを参照する必要があります。Router# show udp | include 5060 17 0.0.0.0 0 --any-- 5060 0 0 11 0 Router# show tcp brief all | include 5060|5061 7F1277405E20 0.0.0.0.5061 *.* LISTEN 7F127BBE20D8 0.0.0.0.5060 *.* LISTEN
シスコ製品で稼働している Cisco IOS ソフトウェア リリースを確認するには、デバイスにログインして show version コマンドを使って、システム バナーを表示します。"Internetwork Operating System Software"、"Cisco IOS Software" あるいはこれらに類似するシステム バナーによってデバイスで Cisco IOS ソフトウェアが稼働していることを確認できます。 その後ろにイメージ名が括弧の間に表示され、続いて "Version" と Cisco IOS ソフトウエア リリース名が表示されます。他のシスコ デバイスでは、show version コマンドが存在しなかったり、別の出力が表示されたりします。
次の例は、Cisco IOS ソフトウェア リリースが 15.2(4)M5、インストールされたイメージ名が C3900-UNIVERSALK9-M であるシスコ製品を示しています。
Router> show version
Cisco IOS Software, C3900 Software (C3900-UNIVERSALK9-M), 15.2(4)M5, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2013 by Cisco Systems, Inc.
Compiled Fri 13-Sep-13 16:44 by prod_rel_team!--- output truncated
Cisco IOSソフトウェアのリリース命名規則の追加情報は、『White Paper: Cisco IOS and NX-OS Software Reference Guide』で確認できます。
脆弱性を含んでいないことが確認された製品
Cisco Unified Communications Managerは、この脆弱性の影響を受けません。
他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。
他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。
詳細
SIPは、インターネットなどのIPネットワークを介した音声およびビデオコールの管理に使用される一般的なシグナリングプロトコルです。SIPは、コールのセットアップと終了のすべての側面を処理する役割を担います。音声とビデオは、SIPで処理される最も一般的なセッションタイプですが、このプロトコルには、コールのセットアップと終了を必要とする他のアプリケーションに対応できる柔軟性があります。SIPコールシグナリングでは、UDPポート5060、TCPポート5060、またはTCPポート5061のTLSを、基盤となるトランスポートプロトコルとして使用できます。
Cisco IOSソフトウェアおよびCisco IOS XEソフトウェアのSession Initiation Protocol(SIP)実装における脆弱性により、認証されていないリモート攻撃者が該当デバイスのリロードを引き起こす可能性があります。
この脆弱性は、特定のSIPメッセージの不適切な処理に起因します。攻撃者は、確立されたコールで巧妙に細工されたSIPメッセージを送信するか、巧妙に細工されたSIPメッセージを含むコールを開始することで、この脆弱性を不正利用してデバイスのリロードを引き起こす可能性があります。この脆弱性は、デバイス宛てのトラフィックによってのみ引き起こされます。デバイスを通過するSIPトラフィックは不正利用の手段とはなりません。この脆弱性は、SIP over IPバージョン4(IPv4)またはIPバージョン6(IPv6)通信プロトコルで不正利用される可能性があります。この脆弱性は、SIP over UDPトラフィックまたはSIP over TCPトラフィックで不正利用される可能性があります。
この脆弱性は、Cisco Bug ID CSCul46586(登録ユーザ専用)に記載されています。この脆弱性に対してCommon Vulnerabilities and Exposures(CVE)IDとしてCVE-2014-3360が割り当てられています。
Cisco IOSソフトウェアおよびCisco IOS XEソフトウェアのSession Initiation Protocol(SIP)実装における脆弱性により、認証されていないリモート攻撃者が該当デバイスのリロードを引き起こす可能性があります。
この脆弱性は、特定のSIPメッセージの不適切な処理に起因します。攻撃者は、確立されたコールで巧妙に細工されたSIPメッセージを送信するか、巧妙に細工されたSIPメッセージを含むコールを開始することで、この脆弱性を不正利用してデバイスのリロードを引き起こす可能性があります。この脆弱性は、デバイス宛てのトラフィックによってのみ引き起こされます。デバイスを通過するSIPトラフィックは不正利用の手段とはなりません。この脆弱性は、SIP over IPバージョン4(IPv4)またはIPバージョン6(IPv6)通信プロトコルで不正利用される可能性があります。この脆弱性は、SIP over UDPトラフィックまたはSIP over TCPトラフィックで不正利用される可能性があります。
この脆弱性は、Cisco Bug ID CSCul46586(登録ユーザ専用)に記載されています。この脆弱性に対してCommon Vulnerabilities and Exposures(CVE)IDとしてCVE-2014-3360が割り当てられています。
回避策
Cisco IOSソフトウェアまたはCisco IOS XEソフトウェアを実行する該当のシスコデバイスでVoIPサービス用にSIPが必要な場合、SIPを無効にすることはできません。また、回避策はありません。脆弱性の発現を制限するために、緩和テクニックを適用することを推奨します。緩和策とは、正当なデバイスだけが該当するデバイスに接続できるようにすることです。効果を高めるには、この緩和策をネットワークエッジでのスプーフィング対策と組み合わせて利用する必要があります。SIPはトランスポートプロトコルとしてUDPを使用できるため、このアクションは必須です。
ネットワーク内のCiscoデバイスに適用可能な他の対応策は、次のリンクから入手可能なCisco IOSソフトウェアのSession Initiation ProtocolにおけるDoS脆弱性の悪用に対する識別策と対応策に関する適用対応策速報を参照してください。https://sec.cloudapps.cisco.com/security/center/viewAMBAlert.x?alertId=35259
この回避策を適用した後で、show udpコマンドとshow tcp brief allコマンドを使用すると、SIP UDPポートとTCPポートが閉じていることを確認できます。
使用しているCisco IOSソフトウェアリリースによっては、SIPがディセーブルになっている場合にshow ip socketsコマンドの出力にSIPポートがオープンであると表示される場合がありますが、トラフィックを送信するとSIPプロセスによって次のメッセージが表示されます。
前記のCoPPの例では、permitアクションが設定された潜在的なエクスプロイトパケットと一致するアクセスコントロールエントリ(ACE)がある場合、これらのパケットはポリシーマップのdrop機能によって廃棄されますが、denyアクションが設定されたパケットは、ポリシーマップのdrop機能の影響を受けません。CoPP機能の設定と使用方法についての詳細は、『コントロールプレーンポリシングの実装に関するベストプラクティス』および『QoSポリシングおよびシェーピング設定ガイド』の「コントロールプレーンポリシング」の章を参照してください。
ネットワーク内のCiscoデバイスに適用可能な他の対応策は、次のリンクから入手可能なCisco IOSソフトウェアのSession Initiation ProtocolにおけるDoS脆弱性の悪用に対する識別策と対応策に関する適用対応策速報を参照してください。https://sec.cloudapps.cisco.com/security/center/viewAMBAlert.x?alertId=35259
SIPリスニングポートの無効化
SIPを有効にする必要がないデバイスの場合、最も簡単で効果的な回避策は、デバイスのSIP処理を無効にすることです。Cisco IOSソフトウェアおよびCisco IOS XEソフトウェアの一部のリリースでは、管理者は次のコマンドを使用してSIPを無効にすることができます。警告: Media Gateway Control Protocol(MGCP)またはH.323コールを処理しているデバイスにこの回避策を適用すると、アクティブコールの処理中にデバイスでSIP処理が停止されません。このような状況では、この回避策は、アクティブコールを一時的に停止できるメンテナンス時間帯に実装する必要があります。sip-ua no transport udp no transport tcp no transport tcp tls
この回避策を適用した後で、show udpコマンドとshow tcp brief allコマンドを使用すると、SIP UDPポートとTCPポートが閉じていることを確認できます。
使用しているCisco IOSソフトウェアリリースによっては、SIPがディセーブルになっている場合にshow ip socketsコマンドの出力にSIPポートがオープンであると表示される場合がありますが、トラフィックを送信するとSIPプロセスによって次のメッセージが表示されます。
*Nov 2 11:36:47.691: sip_udp_sock_process_read: SIP UDP Listener is DISABLED
コントロール プレーン ポリシング
SIPサービスを提供する必要があるデバイスでは、コントロールプレーンポリシング(CoPP)を使用して、信頼できない送信元からデバイスへのSIPトラフィックをブロックすることができます。CoPP機能は、Cisco IOSソフトウェアおよびCisco IOS XEソフトウェアリリース12.0S、12.2SX、12.2S、12.3T、12.4、12.4T以降でサポートされています。デバイスに CoPP を設定して、管理プレーンとコントロール プレーンを保護し、既存のセキュリティ ポリシーおよび設定に従って、インフラストラクチャのデバイスに送信される承認されたトラフィックだけを明示的に許可することで、インフラストラクチャへの直接攻撃のリスクと効果を最小限に抑えることができます。次の例は、特定のネットワーク設定に適用できます。注:SIPではトランスポートプロトコルとしてUDPを使用できるため、IPパケットの送信元アドレスをスプーフィングすることが可能です。これにより、信頼できるIPアドレスからこれらのポートへの通信を許可するAccess Control List(ACL;アクセスコントロールリスト)がバイパスされる場合があります。スプーフィングを防止するUnicast Reverse Path Forwardingについては、『Unicast Reverse Path Forwardingについて』を参照してください。!– The 192.168.1.0/24 network and the 172.16.1.1 host are trusted. !– Everything else is not trusted. The following access list is used !– to determine which traffic needs to be dropped by a control plane !– policy (the CoPP feature): if the access list matches (permit), !– traffic will be dropped and if the access list does not !– match (deny), traffic will be processed by the router.
access-list 100 deny udp 192.168.1.0 0.0.0.255 any eq 5060 access-list 100 deny tcp 192.168.1.0 0.0.0.255 any eq 5060 access-list 100 deny tcp 192.168.1.0 0.0.0.255 any eq 5061 access-list 100 deny udp host 172.16.1.1 any eq 5060 access-list 100 deny tcp host 172.16.1.1 any eq 5060 access-list 100 deny tcp host 172.16.1.1 any eq 5061 access-list 100 permit udp any any eq 5060 access-list 100 permit tcp any any eq 5060 access-list 100 permit tcp any any eq 5061
!– Create a class map for traffic to be policed by !– the CoPP feature.
class-map match-all drop-sip-class match access-group 100
!– Create a policy map that will be applied to the !– control plane of the device.
policy-map control-plane-policy class drop-sip-class drop
!– Apply the policy map to the control plane of the !– device. control-plane service-policy input control-plane-policy
前記のCoPPの例では、permitアクションが設定された潜在的なエクスプロイトパケットと一致するアクセスコントロールエントリ(ACE)がある場合、これらのパケットはポリシーマップのdrop機能によって廃棄されますが、denyアクションが設定されたパケットは、ポリシーマップのdrop機能の影響を受けません。CoPP機能の設定と使用方法についての詳細は、『コントロールプレーンポリシングの実装に関するベストプラクティス』および『QoSポリシングおよびシェーピング設定ガイド』の「コントロールプレーンポリシング」の章を参照してください。
修正済みソフトウェア
ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt のシスコ セキュリティ アドバイザリ、応答、および通知のアーカイブや、後続のアドバイザリを参照して侵害の可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
Cisco IOS ソフトウェア リリースへの Cisco IOS XE ソフトウェア リリースのマッピングについては、「Cisco IOS XE 2 Release Notes」、「Cisco IOS XE 3S Release Notes」、および「Cisco IOS XE 3SG Release Notes」を参照してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
Cisco IOS ソフトウェア
シスコは、お客様がCisco IOSソフトウェアの脆弱性の影響を受けるかどうかを判断するためのツールを提供しています。 Cisco IOS Software Checker により、次のタスクを実行できます。
- ドロップダウン メニューからリリースを選択するか、ローカル システムからファイルをアップロードすることによって、検索を開始する
- show version コマンドの出力をツールで解析する
- カスタマイズした検索を作成して、以前に公開されたすべてのシスコセキュリティアドバイザリ、特定の資料、または2015年9月のバンドル資料のすべてのアドバイザリを含めます
このツールは、クエリされたソフトウェアリリースに影響を与えるシスコセキュリティアドバイザリと、各シスコセキュリティアドバイザリのすべての脆弱性を修正する最初のリリース(First Fixed)を特定します。該当する場合、表示されたすべてのアドバイザリのすべての脆弱性を修正する最初のリリース(Combined First Fixed)も返します。Cisco IOS Software Checkerにアクセスするか、次のフィールドにCisco IOSソフトウェアリリースを入力して、このバンドルアドバイザリアドバイザリの影響を受受受えないかどうかを判断します。
(例:15.1(4)M2)
Cisco IOS XE ソフトウェア
Cisco IOS XEソフトウェアは、このアドバイザリに記載されている脆弱性の影響を受けます。| Cisco IOS XE ソフトウェア リリース | First Fixed Release(修正された最初のリリース) | 2014年9月のCisco IOSソフトウェアセキュリティアドバイザリバンドル公開に含まれるすべてのアドバイザリに対する最初の修正リリース |
|---|---|---|
| 2.1.x | 脆弱性なし | 脆弱性あり。3.7.6S以降に移行してください。 |
| 2.2.x | 脆弱性なし | 脆弱性あり。3.7.6S以降に移行してください。 |
| 2.3.x | 脆弱性なし | 脆弱性あり。3.7.6S以降に移行してください。 |
| 2.4.x | 脆弱性なし | 脆弱性あり。3.7.6S以降に移行してください。 |
| 2.5.x | 脆弱性なし | 脆弱性あり。3.7.6S以降に移行してください。 |
| 2.6.x | 脆弱性なし | 脆弱性あり。3.7.6S以降に移行してください。 |
| 3.1.xS | 脆弱性あり。3.7.6S以降に移行してください。 | 脆弱性あり。3.7.6S以降に移行してください。 |
| 3.1.xSG | 脆弱性なし | 脆弱性なし |
| 3.2.xS | 脆弱性あり。3.7.6S以降に移行してください。 | 脆弱性あり。3.7.6S以降に移行してください。 |
| 3.2.xSE |
脆弱性なし |
脆弱性あり、3.3.2SEに移行 |
| 3.2.xSG | 脆弱性なし | 脆弱性なし |
| 3.2.xXO | 脆弱性なし | 脆弱性なし |
| 3.2.xSQ | 脆弱性なし | 脆弱性なし |
| 3.3.xS | 脆弱性あり。3.7.6S以降に移行してください。 | 脆弱性あり。3.7.6S以降に移行してください。 |
| 3.3.xSE | 脆弱性なし | 3.3.2SE |
| 3.3.xSG | 脆弱性なし | 脆弱性あり。3.4.4SG以降に移行してください。 |
| 3.3.xXO | 脆弱性なし | 3.3.1XO |
| 3.3.xSQ | 脆弱性なし | 脆弱性なし |
| 3.4.xS | 脆弱性あり。3.7.6S以降に移行してください。 | 脆弱性あり。3.7.6S以降に移行してください。 |
| 3.4.xSG | 脆弱性なし | 3.4.4SG |
| 3.4.xSQ | 脆弱性なし | 脆弱性なし |
| 3.5.xS | 脆弱性あり。3.7.6S以降に移行してください。 | 脆弱性あり。3.7.6S以降に移行してください。 |
| 3.5.xE | 脆弱性なし | 3.5.2E |
| 3.6.xS | 脆弱性あり。3.7.6S以降に移行してください。 | 脆弱性あり。3.7.6S以降に移行してください。 |
| 3.6.xE | 脆弱性なし | 脆弱性なし |
| 3.7.xS | 3.7.6S | 脆弱性あり。3.7.6S以降に移行してください。 |
| 3.7.xE | 脆弱性なし | 脆弱性なし |
| 3.8.xS | 脆弱性あり。3.10.4S以降に移行してください。 | 脆弱性あり。3.10.4S以降に移行してください。 |
| 3.9.xS | 脆弱性あり。3.10.4S以降に移行してください。 | 脆弱性あり。3.10.4S以降に移行してください。 |
| 3.10.xS | 3.10.4S | 3.10.4S |
| 3.11.xS | 脆弱性あり。3.12S以降に移行してください。 | 脆弱性あり。3.12S以降に移行してください。 |
| 3.12.xS | 脆弱性なし | 脆弱性なし |
| 3.13.xS | 脆弱性なし | 脆弱性なし |
Cisco IOS ソフトウェア リリースへの Cisco IOS XE ソフトウェア リリースのマッピングについては、「Cisco IOS XE 2 Release Notes」、「Cisco IOS XE 3S Release Notes」、および「Cisco IOS XE 3SG Release Notes」を参照してください。
Cisco IOS XR ソフトウェア
Cisco IOS XRソフトウェアは、2014年9月のCisco IOS Software Security Advisoryバンドル公開に含まれている脆弱性の影響を受けません。推奨事項
$propertyAndFields.get("recommendations")
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)は、本アドバイザリに記載されている脆弱性の不正利用事例やその公表を確認していません。
この脆弱性は、シスコ内部でのセキュリティテストによって発見されました。
この脆弱性は、シスコ内部でのセキュリティテストによって発見されました。
URL
改訂履歴
| リビジョン 1.0 | 2014年9月24日 | 初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。