シスコシステムズ社製品のIOS Stack Group Bidding Protocolに関する脆弱性への対応について
掲載日:2006年3月8日
シスコシステムズ社より「CISCO製品のIOS Stack Group Bidding Protocol(SGBP)に関する脆弱性」の存在が報告されました。脆弱性の概要と当社の対応方針をご連絡致します。
I. 概要
Cisco IOSにおいてSGBPプロトコルを動作させている機器について脆弱性が存在します。
シスコシステムズ社からの情報
(英文)
Cisco Security Advisory: IOS Stack Group Bidding Protocol Crafted Packet DoS
1. 事象
Multilink PPPをマルチシャーシ間で利用する際にSGBPプロトコルを使います。SGBPが利用しているport 9900に対して細工されたUDPパケットを受信した場合にフリーズし、処理の停止またはトラフィックが停止する恐れがあります。停止後、機器は自動的に再起動します。
本脆弱性によりSGBPを有効にしているCisco IOS機器はDoS(Denial of Service)攻撃にさらされる危険があります。
2. 該当製品
「SGBPを有効設定しているCisco IOS機器」が該当し、富士通取扱シスコ製品に関しては下記が対象となります。
- Cisco 1800 2500 2600 2800 3600 3700 3800 7200 7300 7500 7600シリーズ及び
- Catalyst6500シリーズのIOS搭載バージョン
SGBPの設定が有効になっているかどうかは下記コマンド出力にて確認可能です。SGBPが動作していない場合は本脆弱性は影響ありません。
| (a) | 本脆弱性が適用される出力例
Router#show sgbp Group Name: test Ref: 0xA3728C00 Seed bid: default, 50, default seed bid setting または Router#show running-config | include sgbp sgbp group test_group |
|||||||
| (b) | 本脆弱性の影響が無い出力例
Router#show sgbp Router# または
|
|||||||
3.恒久対策
脆弱性対処済みバージョンへのバージョンアップにて、恒久的な対策を行うことが出来ます。脆弱性対処済みバージョン情報は、シスコシステムズ社 下記URL のSoftware Versions and Fixesを参照下さい。
(英文)
Cisco Security Advisory: IOS Stack Group Bidding Protocol Crafted Packet DoS
4.回避策
恒久対策がすぐに実行できない場合の、本脆弱性による影響を緩和する回避策を示します。
アクセスリストによる回避
SGBPが必要なお客様においてはAccess Control Lists(ACL)を適用し、port 9900への通信は信頼するホストの限定を行うことで回避が可能です。以下は192.168.10.0のネットワークからの通信のみSGBPで許可するACLの例です。ACLはSGBPを利用するインターフェースへ適用します。
access-list 101 permit udp 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255 port eq 9900
access-list 101 deny udp any 192.168.10.0 0.0.0.255 port eq 9900
access-list 101 permit ip any any
interface ethernet 0/0
ip access-group 101 in
ポリシングによる回避
Control Plane Policy (CoPP)機能により信頼するSGBPパケット以外はポリシングすることで攻撃を緩和します。
! 信頼するSGBPからのトラフィックはポリシングしない
access-list 140 deny udp 192.168.10.0 0.0.0.255 any eq 9900
! 信頼しないSGBPのトラフィックはポリシング対象
access-list 140 permit udp any any eq 9900
! SGBP以外のルータへのトラフィックはポリシングしない
access-list 140 deny ip any any
!
class-map match-all sgbp-class
match access-group 140
!
policy-map control-plane-policy
! “sgbp-class”に該当するトラフィックは全て廃棄
class sgbp-class
drop
!
control-plane
service-policy input control-plane-policy
CoPPがサポートするプラットフォームやIOSバージョンについて制限があります。詳細については以下シスコ社のHPを参照してください。
(英文)
Deploying Control Plane Policing White Paper
II. 弊社の対応
1.対応方法
富士通取扱シスコ製品に関しては、脆弱性対応済みIOSソフトウェアを無償でご提供いたします。購入頂いた販売会社または弊社担当営業にご依頼下さい。
<ソフトウェアインストール作業の代行について>弊社技術員によるIOSソフトウェアインストール作業をご希望の場合は、別途有償にて請け賜ります。販売会社または弊社担当営業にご依頼下さい。
2.注意事項
2.1 回避策の適用について
回避策を講じる場合、その設定作業などはお客様の作業になります。
2.2 恒久対策の適用について
リリースされた脆弱性対処済みIOSを適用する場合には、下記の点に注意願います。
(1) お客様のシステムに対応した脆弱性対処済みIOSの選定、バージョンアップ時に必要なメモリ容量の調査についてはお客様の作業になります。
(2) ソフトウェアを変更した場合、FLASH/DRAMの容量が不足する場合が有ります。FLASH/DRAMメモリ容量が不足する場合には、お客様に追加のメモリをご購入頂く必要が有ります。変更する前にFLASH/DRAMの容量を確認して下さい。FLASH/DRAM必要容量に関しては、シスコシステムズ社ホームページのRelease Notesを参照下さい。
以下Base Releaseのホームページから該当する製品のRebuild、MaintenanceバージョンのRelease Notesへリンクされています。
