Skip to main content

Fujitsu

Japan

富士通取扱シスコ製品のTCPコネクション操作時におけるDoS攻撃に関する脆弱性への対応について

シスコシステムズ社よりTCPコネクション操作時において、DoS(注)攻撃に関する脆弱性の存在が報告されています。脆弱性についての概要と弊社の対応方針をご連絡いたします。

(注)DoS(Denial of Service)攻撃:相手のコンピュータやルータなどに不正なデータを送信して使用不能に陥らせたり、トラフィックを増大させて相手のネットワークを麻痺させる攻撃

1.概要

Cisco製品において、伝送制御プロトコル(TCP)コネクションの状態を操作する際に、DoS攻撃に関する脆弱性の影響を受けます。
システム管理者等がTCPコネクションの状態を操作する際に、外部からの攻撃者によりTCPコネクションを長時間または永続的に保持される可能性があります。
大量のTCPコネクションが長時間または永続的に保持される間に、攻撃を受けているシステムのリソースが枯渇し、新しいTCPコネクションを受け入れられなくなる可能性があり、場合によっては、通常のシステムオペレーションを回復するためにシステムの再起動が必要になります。

1.事象

本脆弱性が繰り返し利用され、DoS攻撃が続くことがあります。但し、本脆弱性はデータや機器の秘密性や現状を損なうものではありません。
また、本脆弱性はあらかじめ暗号化された情報を攻撃者が解読できないものと考えられています。

しかし、攻撃者が攻撃対象のシステムのTCPコネクションを長時間、場合によっては永続的に保持することにより、大量のTCPコネクションを作成させ、システムの内部バッファやメモリリソースを枯渇させます。これにより、攻撃対象のポートまたはシステム全体への新規TCP接続が不可能となる可能性があります。

2.該当製品

  1. Cisco IOSソフトウェアを搭載した製品(全てのCiscoシリーズ(ルータ)、全てのCatalystシリーズ(スイッチ))
  2. Cisco CatOSソフトウェアを搭載した製品(販売終息済の一部のCatalystシリーズ)
    (注)1、2より、全てのCatalystシリーズが該当となります。
  3. ASAシリーズ(セキュリティアプライアンス)、PIXシリーズ(VPN製品)

3.恒久対策

脆弱性対処済みバージョンへのバージョンアップにて、恒久的な対策を行うことができます。脆弱性対処済みバージョン情報は、シスコシステムズ社(下記URL)のSoftware Versions and Fixesを参照下さい。

(英文)
http://www.cisco.com/en/US/products/ products_security_advisory09186a0080af511d.shtml

(日本文)
http://www.cisco.com/JP/support/public/ht/security/107/1071525/ cisco-sa-20090908-tcp24-j.shtml

4.回避策

以下の対応策により、これらの脆弱性を軽減することが可能です。

(1)Cisco IOSソフトウェア

TCP 状態操作の脆弱性を軽減するため、「Cisco Guide to Harden Cisco IOS Devices」内に以下の有用な技法例を提供します。

  • Infrastructure Access Control List(iACL)
  • Receive Access Control List(rACL)
  • Transit Access Control List(tACL)
  • VTY Access Control List
  • Control Plane Policing(CoPP)
  • Control Plane Protection(CPPr)
  • Management Plane Policing(MPP)

上記リストに記載されているトピックの詳細については次のリンクの「Cisco Guide to Harden Cisco IOS Devices」を参照して下さい

http://www.cisco.com/JP/support/public/ht/tac/100/1008474/21-j.shtml

(2)Cisco CatOSソフトウェア

Cisco CatOS ソフトウェアはTCP状態操作の脆弱性を軽減するためにVLAN Access Control List(VACL)を提供します。CatOS 7.x ソフトウェアバージョンのVACL設定に関する詳細については、次のリンクを参照して下さい

http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/catos/7.x/ configuration/guide/acc_list.html#wp1020303

CatOS 8.x ソフトウェアバージョンの VACL設定に関する詳細については、次のリンクを参照して下さい。

http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/catos/8.x/ configuration/guide/acc_list.html#wp1020303

(3)Cisco ASAおよびCiscoのPIXソフトウェア

Cisco ASAおよびCisco PIXソフトウェアにはストールしたハーフクローズコネクションを失効させる手法があり、TCP状態操作の脆弱性を軽減することができます。この手法はファイアウォール自身およびファイアウォールによって保護されているデバイスを攻撃から保護します。timeout half-closeコマンドにより、ハーフクローズ状態がユーザの定義したタイムアウト以上の時間維持された場合にTCPセッションを失効させることが可能です。

FIREWALL(config)# timeout half-closed 0:5:0

このコマンドはTCPハーフクローズタイムアウトを設定可能な最小の値5分にします。TCPハーフクローズタイムアウトに関する詳細については、次のリンクを参照して下さい

http://www.cisco.com/en/US/docs/security/asa/asa80/command/reference/ t.html#wp1500148l

2.弊社の対応

1.対応方法

富士通取扱Cisco製品に関しては、脆弱性対処済みソフトウェアを無償でご提供いたします。購入頂いた販売会社または弊社担当営業にご依頼下さい。

<ソフトウェアインストール作業の代行について>

弊社技術員によるIOSソフトウェアインストール作業をご希望の場合は、別途有償にて請け賜ります。販売会社または弊社担当営業にご依頼下さい。

2.注意事項

リリースされた脆弱性対処済みソフトウェアを適用する場合には、下記の点に注意願います。

  1. お客様のシステムに対応した脆弱性対処済みソフトウェアの選定、バージョンアップ時に必要なメモリ容量の調査についてはお客様の作業になります。但し、お客様のご要望により有償にて弊社にて作業することが可能です。
  2. ソフトウェアを変更した場合、フラッシュメモリ(コンパクトフラッシュ等)やメインメモリ(DRAM等)の容量が不足する場合が有ります。
    それらのメモリ容量が不足する場合には、お客様に追加のメモリをご購入いただく必要が有ります。
    ソフトウェアの変更をする前に、各メモリ容量を確認して下さい。必要メモリ容量に関しては、シスコシステムズ社ホームページのRelease Notes等を参照下さい。

<リリースノート>

http://www.cisco.com/univercd/cc/td/doc/product/software/index.htm

お問い合わせ先

ご購入いただいた販売会社、弊社担当営業、または以下へお問い合わせください。

サービスビジネス本部 ネットワークサービス推進部
icon-telephone Tel 03-6424-6266(直通)