ICMP使用時にTCPセッションが阻害される脆弱性に関する対応について(ネットワーク製品)
掲載日:2006年1月19日
1.概要
弊社ネットワーク製品の一部において、TCP / IPの実装におけるICMPエラーメッセージの処理に関して脆弱性が存在することが発見されました。本脆弱性はTCP / IPを使った通信にて発生し、悪意のある攻撃者はサービス妨害(Denial-of-Service, DoS)攻撃が可能となります。本脆弱の内容と対応策について通知致します。
2.内容
2-1.脆弱性の内容
本脆弱性は英国NISCC(注1)より、「NISCC-532967 TCP実装のICMPエラーメッセージの処理に関する脆弱性」として報告されています。
http://jvn.jp/niscc/NISCC-532967/index.html
この脆弱性は、TCP / IPのICMP(注2)エラーメッセージ処理において発生し、対象装置が使用するTCP通信に対して悪意のある攻撃者からDoS攻撃をうける可能性があります。
(注1) NISCC: National Infrastructure Security Co-Ordination Centreの略。英国における重要インフラ保護のための機関。
(注2) ICMP: Internet Control Message Protocolの略。TCP / IP通信時に通信状況やエラー状況を確認・通知するためのプロトコル。
2-2.影響を受ける製品 / 条件
2-2-1.影響を受ける製品
下記製品が本脆弱性の影響を受ける可能性があります。
| ルータ | Si-Rシリーズ | Si-R870 / 570 / 500 / 370 / 330 / 300 / 270 / 260B / 260 / 220B / 220 / 210 / 180 / 170 / 150 / 130 / 30 |
|---|---|---|
| NetVehicleシリーズ | NetVehicle-I / EX3 / fx3 / H30 / S30 / L10 / S20 / GX5 | |
| スイッチ | SRシリーズ | SR8800 / 5400 |
| Si-Rシリーズ | Si-R3400 | |
| SBシリーズ | SB6400 | |
| SHシリーズ | SH5124T / 4322G / 4124T / 4124S / 1824 / 1824B / 1816 / 1816B / 1610F | |
| SR-Sシリーズ | SR-S208TC1 / 224TC1 / 316C1 / 716C1 | |
| VoIP | VoIPゲートウェイ | Si-Vシリーズ(Si-V735 / 730 / 704 / 704B / 702)
EW30IP |
| VoIPルータ | LR-Vシリーズ(LR-V1150T / 1150D) | |
| IP-PBX | IP Pathfinderシリーズ(センターサーバ全モデル, RM全モデル)
IP MEDIASERVE IP電話機、PSTNゲートウェー等の関連製品 |
|
| PBX | ES3000 / 200シリーズ,E-3000 / 200シリーズIP対応用品(IPトランク等) |
注: なお、上記以外で本脆弱性の影響を受ける可能性がある製品については現在調査中です。対象となる製品が新たに確認された場合は、随時お知らせします。
2-2-2.影響を受ける条件
2-2-1項の製品においてICMPを使用する際に、本脆弱性を受ける可能性があります。具体的には下記条件の時に影響を受ける可能性があります。
- 装置に対してtelnet / ftpを利用して設定操作 / 保守機能操作を実施しているとき
- VoIP製品で発呼(電話をかける)処理をしているとき
上記以外では本脆弱性の影響を受けません。
2-2-3.本脆弱性の影響を受ける可能性
2-3-1.影響 / 復旧方法
本脆弱性による攻撃を受けた場合でも、通信(お客様業務)に影響を与えることはありません。
また、一部下記の軽微な影響が発生する可能性がありますが、操作の再試行で作業を継続できます。
(1) 装置に対してtelnet / ftpを利用して設定操作 / 保守機能操作を実施しているとき(ルータ /スイッチ /VoIP製品共通)
装置に対する設定操作、保守機能操作の途中で、装置からの応答が鈍くなる場合があります。ただし、自動的に復旧します。また場合によっては、セッションが一旦切断される場合がありますが、作業者がtelnet/ftpにて再接続することで、作業を継続することが可能です。
(2) お客様が発呼処理しているとき(VoIP製品のみ)
お客様が発呼中に発呼処理が中断されることがあります。ただし、再度発呼することで通話することが出来ます。
2-3-2.本脆弱性の影響を受ける可能性
TCPを使用した通信を行っている対象装置に対し、外部の悪意のある第三者から以下の4種類の情報を特定された場合にのみ発生しますが、対象装置にて設定操作 / 保守機能操作を実施しているとき、またはVoIP製品で発呼(電話をかける)処理をしているときに、この情報を特定することは困難です。
- 送信元IPアドレス
- 送信元ポート番号
- 送信先IPアドレス
- 送信先ポート番号
よって、本脆弱性の影響を受ける可能性は非常に小さいと考えられます。
3.本脆弱性への対策
また、本脆弱性への対応については下記回避策を適用して頂くようお願いいたします。
3-1.回避策
外部と直接接続されている装置において以下のICMPデータを遮断(フィルタリング)する設定を行うことで回避可能となります。- ICMPタイプ3 (Destination Unreachable)コード0,1,2,3,4,5
- ICMPタイプ4 (Source Quench)コード0
- ICMPタイプ11(Time Exceeded)コード0,1
- ICMPタイプ12(Parameter Problem)
フィルタリングの操作方法については、下記URLに登録している取扱説明書にて確認願います。
http://www.fujitsu.com/jp/products/network/manual/index.html
お問い合わせ先
ご購入いただいた販売会社、弊社担当営業、または以下へお問い合わせください。
サービスビジネス本部
ネットワークビジネス推進統括部 ネットワークサービス推進部
Tel: (03)6424-6247(直通)
