ルータ（Si-Rシリーズ,Si-R70brin）のIPv6プロトコル実装に起因する脆弱性への対応について

1.概要

弊社IPアクセスルータSi-Rシリーズ,Si-R70brinにおいて、IPv6プロトコル実装に起因する脆弱性が発見されました。本脆弱性はIPv6を有効にしている通信にて発生する可能性があり、悪意のある攻撃者はサービス妨害（Denial-of-Service, DoS）攻撃が可能となります。本脆弱の内容と対応策について通知致します。

2.内容

2-1.脆弱性の内容

本脆弱性はJVN（注1）より、「JVNVU#267289:IPv6 type0 ルーティングヘッダーの問題」として報告されています。
http://jvn.jp/cert/JVNVU%23267289/
この脆弱性によって、悪意のある第三者がDoS攻撃を行う可能性があります。DoS攻撃が行われた場合、不正トラフィックの増加により通信レスポンスが悪化するなどの可能性があります。

（注1）JVN：Japan Vulnerability Notes（脆弱性対策情報ポータルサイト）

2-2.影響を受ける製品/条件

2-2-1. 影響を受ける製品

下記製品が本脆弱性の影響を受ける可能性があります。

2-2-2. 影響を受ける条件

下記二つの条件を満たした場合のみ影響を受けます。それ以外では影響を受けることはありません。

1. 上記対象製品（上記2-2-1項）にてIPv6通信を有効にしている時
2. 上記対象製品（上記2-2-1項）のIPv6アドレスを特定された場合

2-3.本脆弱による影響

2-3-1.影響/復旧方法

本脆弱性に対して、悪意のある第三者からDoS攻撃が行われた場合、下記の影響を受ける可能性があります。

1. 不正トラフィックの増加によるレスポンス悪化
2. 装置ダウンによる通信の中断

なお、装置がダウンした場合でも自動復旧致します。

2-3-2.本脆弱性の影響を受ける可能性

外部の悪意のある第三者が、対象となるSi-RシリーズのIPv6アドレスを特定した場合は、本脆弱性の影響を受ける可能性があります。

ただし、本脆弱性の影響を受け大量のトラフィックが発生した場合でも、通信レスポンスが悪化するケースが殆どであり、装置がダウンする可能性は低いと考えられます。また、装置がダウンした場合でも自動復旧致します。

3.本脆弱性への対策

3-1.回避策

以下のIPv6パケットを遮断（フィルタリング）することで、本脆弱による影響を回避することができます。

• 宛先IPv6アドレスが自装置 かつ プロトコル番号43

以下に設定例を示します。

acl 0 ip6 any <自装置IPv6アドレス1>/128 43
acl 1 ip6 any <自装置IPv6アドレス2>/128 43
 :

lan 0 ip6 filter 0 reject acl 0
lan 0 ip6 filter 1 reject acl 1
 :
remote 0 ip6 filter 0 reject acl 0
remote 0 ip6 filter 1 reject acl 1
 :

その他のソフト版数での設定方法や詳細なフィルタリング方法については、下記URLに登録している取扱説明書（コマンドリファレンス/WEBリファレンスなど）にて確認願います。
http://fenics.fujitsu.com/products/manual/

3-2.対策ソフトについて

本脆弱性への対策ソフトは下記URLにて無償で順次提供予定です。提供開始までは上記3-1項の回避策にて対応願います。
https://fenics.fujitsu.com/products/download/sir/firm/

なお、対策ソフトのインストールはお客様ご自身での作業となります。
また、弊社技術員によるインストールサービスも有償にて提供しております。ご購入いただいた販売会社、または、弊社担当営業にお申し付け下さい。