シスコシステムズ社よりTCPコネクション操作時において、DoS(注)攻撃に関する脆弱性の存在が報告されています。脆弱性についての概要と弊社の対応方針をご連絡いたします。
(注)DoS(Denial of Service)攻撃:相手のコンピュータやルータなどに不正なデータを送信して使用不能に陥らせたり、トラフィックを増大させて相手のネットワークを麻痺させる攻撃
Cisco製品において、伝送制御プロトコル(TCP)コネクションの状態を操作する際に、DoS攻撃に関する脆弱性の影響を受けます。
システム管理者等がTCPコネクションの状態を操作する際に、外部からの攻撃者によりTCPコネクションを長時間または永続的に保持される可能性があります。
大量のTCPコネクションが長時間または永続的に保持される間に、攻撃を受けているシステムのリソースが枯渇し、新しいTCPコネクションを受け入れられなくなる可能性があり、場合によっては、通常のシステムオペレーションを回復するためにシステムの再起動が必要になります。
本脆弱性が繰り返し利用され、DoS攻撃が続くことがあります。但し、本脆弱性はデータや機器の秘密性や現状を損なうものではありません。
また、本脆弱性はあらかじめ暗号化された情報を攻撃者が解読できないものと考えられています。
しかし、攻撃者が攻撃対象のシステムのTCPコネクションを長時間、場合によっては永続的に保持することにより、大量のTCPコネクションを作成させ、システムの内部バッファやメモリリソースを枯渇させます。これにより、攻撃対象のポートまたはシステム全体への新規TCP接続が不可能となる可能性があります。
脆弱性対処済みバージョンへのバージョンアップにて、恒久的な対策を行うことができます。脆弱性対処済みバージョン情報は、シスコシステムズ社(下記URL)のSoftware Versions and Fixesを参照下さい。
(英文)
http://www.cisco.com/en/US/products/ products_security_advisory09186a0080af511d.shtml
(日本文)
http://www.cisco.com/JP/support/public/ht/security/107/1071525/ cisco-sa-20090908-tcp24-j.shtml
以下の対応策により、これらの脆弱性を軽減することが可能です。
TCP 状態操作の脆弱性を軽減するため、「Cisco Guide to Harden Cisco IOS Devices」内に以下の有用な技法例を提供します。
上記リストに記載されているトピックの詳細については次のリンクの「Cisco Guide to Harden Cisco IOS Devices」を参照して下さい
http://www.cisco.com/JP/support/public/ht/tac/100/1008474/21-j.shtml
Cisco CatOS ソフトウェアはTCP状態操作の脆弱性を軽減するためにVLAN Access Control List(VACL)を提供します。CatOS 7.x ソフトウェアバージョンのVACL設定に関する詳細については、次のリンクを参照して下さい
CatOS 8.x ソフトウェアバージョンの VACL設定に関する詳細については、次のリンクを参照して下さい。
Cisco ASAおよびCisco PIXソフトウェアにはストールしたハーフクローズコネクションを失効させる手法があり、TCP状態操作の脆弱性を軽減することができます。この手法はファイアウォール自身およびファイアウォールによって保護されているデバイスを攻撃から保護します。timeout half-closeコマンドにより、ハーフクローズ状態がユーザの定義したタイムアウト以上の時間維持された場合にTCPセッションを失効させることが可能です。
FIREWALL(config)# timeout half-closed 0:5:0
このコマンドはTCPハーフクローズタイムアウトを設定可能な最小の値5分にします。TCPハーフクローズタイムアウトに関する詳細については、次のリンクを参照して下さい
http://www.cisco.com/en/US/docs/security/asa/asa80/command/reference/ t.html#wp1500148l
富士通取扱Cisco製品に関しては、脆弱性対処済みソフトウェアを無償でご提供いたします。購入頂いた販売会社または弊社担当営業にご依頼下さい。
弊社技術員によるIOSソフトウェアインストール作業をご希望の場合は、別途有償にて請け賜ります。販売会社または弊社担当営業にご依頼下さい。
リリースされた脆弱性対処済みソフトウェアを適用する場合には、下記の点に注意願います。
http://www.cisco.com/univercd/cc/td/doc/product/software/index.htm
ご購入いただいた販売会社、弊社担当営業、または以下へお問い合わせください。
サービスビジネス本部 ネットワークサービス推進部
Tel 03-6424-6266(直通)