弊社IPアクセスルータSi-Rシリーズ,Si-R70brinにおいて、IPv6プロトコル実装に起因する脆弱性が発見されました。本脆弱性はIPv6を有効にしている通信にて発生する可能性があり、悪意のある攻撃者はサービス妨害(Denial-of-Service, DoS)攻撃が可能となります。本脆弱の内容と対応策について通知致します。
本脆弱性はJVN(注1)より、「JVNVU#267289:IPv6 type0 ルーティングヘッダーの問題」として報告されています。
http://jvn.jp/cert/JVNVU%23267289/
この脆弱性によって、悪意のある第三者がDoS攻撃を行う可能性があります。DoS攻撃が行われた場合、不正トラフィックの増加により通信レスポンスが悪化するなどの可能性があります。
(注1)JVN:Japan Vulnerability Notes(脆弱性対策情報ポータルサイト)
下記製品が本脆弱性の影響を受ける可能性があります。
ルータ | Si-Rシリーズ | Si-R570 / 500 / 370 / 330 / 300 / 270 / 260B / 260 / 240 / 220C / 220B / 220 / 210 / 180 / 170 / 150 / 130 |
---|---|---|
Si-R70brin | Si-R70brin |
下記二つの条件を満たした場合のみ影響を受けます。それ以外では影響を受けることはありません。
本脆弱性に対して、悪意のある第三者からDoS攻撃が行われた場合、下記の影響を受ける可能性があります。
なお、装置がダウンした場合でも自動復旧致します。
外部の悪意のある第三者が、対象となるSi-RシリーズのIPv6アドレスを特定した場合は、本脆弱性の影響を受ける可能性があります。
ただし、本脆弱性の影響を受け大量のトラフィックが発生した場合でも、通信レスポンスが悪化するケースが殆どであり、装置がダウンする可能性は低いと考えられます。また、装置がダウンした場合でも自動復旧致します。
以下のIPv6パケットを遮断(フィルタリング)することで、本脆弱による影響を回避することができます。
以下に設定例を示します。
ソフト版数がV30以降の場合の設定例
acl 0 ip6 any <自装置IPv6アドレス1>/128 43 acl 1 ip6 any <自装置IPv6アドレス2>/128 43 :
(注)全ての自装置IPv6アドレスに対してACLを作成してください。
lan 0 ip6 filter 0 reject acl 0 lan 0 ip6 filter 1 reject acl 1 : remote 0 ip6 filter 0 reject acl 0 remote 0 ip6 filter 1 reject acl 1 :
(注)攻撃を受信しうる全てのインターフェースにおいてフィルターを設定してください。
その他のソフト版数での設定方法や詳細なフィルタリング方法については、下記URLに登録している取扱説明書(コマンドリファレンス/WEBリファレンスなど)にて確認願います。
http://fenics.fujitsu.com/products/manual/
本脆弱性への対策ソフトは下記URLにて無償で順次提供予定です。提供開始までは上記3-1項の回避策にて対応願います。
https://fenics.fujitsu.com/products/download/sir/firm/
なお、対策ソフトのインストールはお客様ご自身での作業となります。
また、弊社技術員によるインストールサービスも有償にて提供しております。ご購入いただいた販売会社、または、弊社担当営業にお申し付け下さい。
ご購入いただいた販売会社、弊社担当営業、または以下へお問い合わせください。
サービスビジネス本部
ネットワークビジネス推進統括部 ネットワークサービス推進部
Tel: 03-6424-6263(直通)