シスコシステムズ社製品のIOSソフトウェアのSIPパケット処理に関する脆弱性への対応について
掲載日:2007年2月7日
シスコシステムズ社よりSIPパケットの処理に関する脆弱性の存在が報告されました。脆弱性についての概要と弊社の対応方針をご連絡いたします。
1.概要
音声サービスをサポートしているIOSを動作させているCISCO ルータ製品は、SIPの設定を行っていない場合に製品本体が再起動する脆弱性を有します。詳細は、シスコシステムズ社下記URLを参照ください。
(英文[正式版])
http://www.cisco.com/en/US/products/products_security_advisory09186a00807d3715.shtml
(注)和文のサイトにつきましては、現在シスコシステムズ社にて公開準備中です。
(注)随時情報が更新される可能性があるため、最新情報をご確認ください。
1.事象
音声サービスをサポートしているIOSが稼動しているシスコシステムズ社製のルータ製品において、SIPの設定を行っていない状態ではDenial of Service(サービス妨害、DoS)攻撃を受け、本体製品の再起動が起こることがあります。
尚、シスコシステムズ社ではこの脆弱性を利用した不正利用事例は確認しておりません。
2.該当製品
「音声サービスをサポートしているIOSで動作しているシスコルータ」が該当し、富士通取扱シスコ製品に関しては、下記の製品が対象となります。
Cisco800シリーズ
Cisco 871 シリーズ本体Cisco1700シリーズ
Cisco 1712シリーズ本体、Cisco 1721シリーズ本体、 Cisco 1751シリーズ本体、Cisco1751-Vシリーズ本体Cisco1800シリーズ
Cisco 1812シリーズ本体、Cisco 1841シリーズ本体Cisco2600シリーズ
Cisco 2610XMシリーズ本体、 Cisco 2611XMシリーズ本体、 Cisco 2620XMシリーズ本体、Cisco 2621XMシリーズ本体、 Cisco 2650XMシリーズ本体、 Cisco 2651XMシリーズ本体、Cisco 2691シリーズ本体Cisco2800シリーズ
Cisco 2801シリーズ本体、Cisco 2811シリーズ本体、 Cisco 2821シリーズ本体、Cisco 2851シリーズ本体Cisco3700シリーズ
Cisco 3725シリーズ本体、 Cisco 3745シリーズ本体Cisco3800シリーズ
Cisco 3825シリーズ本体、Cisco 3845シリーズ本体Cisco7200シリーズ
Cisco 7200シリーズ本体,、Cisco 7200-NPE-G2シリーズCisco7300シリーズ
Cisco 7301シリーズ本体
なお、以下いずれかに該当する場合は影響を受けません。
音声サービスをサポートしていない製品
SIPの設定を適切に行っている製品
IOSを使用していない装置
該当するIOSなど、脆弱性についての詳細はシスコシステムズ社(下記URL)を参照下さい。
(英文[正式版])
http://www.cisco.com/en/US/products/products_security_advisory09186a00807d3715.shtml
(注)和文のサイトにつきましては、現在シスコシステムズ社にて公開準備中です。
(注)随時情報が更新される可能性があるため、最新情報をご確認ください。
3 .恒久対策
脆弱性対処済みバージョンへのバージョンアップにて、恒久的な対策を行うことが出来ます。脆弱性対処済みバージョン情報は、シスコシステムズ社(下記URL) のSoftware Versions and Fixesを参照下さい。
(英文[正式版])
http://www.cisco.com/en/US/products/products_security_advisory09186a00807d3715.shtml
(注)和文のサイトにつきましては、現在シスコシステムズ社にて公開準備中です。
(注)随時情報が更新される可能性があるため、最新情報をご確認ください。
4 .回避策
インターネットへ接続した環境等では、該当シスコ製品に対し、任意の端末からexploitsに代表される悪意のある攻撃を直接受ける可能性があります。しかしながら、該当シスコ製品に対しインターネットからの直接通信ができない等、悪意のある攻撃を受けにくい環境では、事象が発生する可能性が極めて低いものと考えられます。また、シスコシステムズ社推奨の回避策(下記URL)を実施することで事象の発生を抑えることが可能です。
(英文[正式版])
http://www.cisco.com/en/US/products/products_security_response09186a00807d36f5.html
(注)和文のサイトにつきましては、現在シスコシステムズ社にて公開準備中です。
(注)随時情報が更新される可能性があるため、最新情報をご確認ください。
4-1.SIPの停止
この脆弱性はSIPの設定を行っていないルータについてのみ報告されており、SIPプロセスを停止することで本事象の回避が可能です。
Enter configuration commands, one per line. End with CNTL/Z. Router(config)#sip-ua Router(config-sip-ua)#no transport udp Router(config-sip-ua)#no transport tcp Router(config-sip-ua)#end
4-2.Control Plane Policing
12.0S, 12.2SX, 12.2S, 12.3T, 12.4, and 12.4TはCoPP(Control Plane Policing)をサポートしています。下記の設定を行うことによって脆弱性による影響を抑えることが可能です。
!-- Permit all TCP and UDP SIP traffic sent to all IP addresses
!-- configured on all interfaces of the affected device so that it
!-- will be policed and dropped by the CoPP feature
access-list 100 permit tcp any any eq 5060
access-list 100 permit udp any any eq 5060
!-- Permit (Police or Drop)/Deny (Allow) all other Layer3 and Layer4
!-- traffic in accordance with existing security policies and
!-- configurations for traffic that is authorized to be sent
!-- to infrastructure devices
!-- Create a Class-Map for traffic to be policed by
!-- the CoPP feature
class-map match-all drop-sip-class
match access-group 100
!-- Create a Policy-Map that will be applied to the
!-- Control-Plane of the device
policy-map drop-sip-traffic
class drop-sip-class
drop
!-- Apply the Policy-Map to the Control-Plane of the
!-- device
control-plane
service-policy input drop-sip-traffic
2.弊社の対応
1.対応方法
富士通取扱Cisco製品に関しては、脆弱性対処済みソフトウェアを無償でご提供いたします。
購入頂いた販売会社または弊社担当営業にご依頼下さい。
<ソフトウェアインストール作業の代行について>
弊社技術員によるIOSソフトウェアインストール作業をご希望の場合は、別途有償にて請け賜ります。
販売会社または弊社担当営業にご依頼下さい。
2.注意事項
2.1回避策の適用について
回避策を講じる場合、その設定作業などはお客様の作業になります。ただし、お客様のご要望により富士通に作業依頼があった場合、担当SEに有償での対応を依頼願います。
2.2恒久対策の適用について
リリースされた脆弱性対処済みソフトウェアを適用する場合には、下記の点に注意願います。
(1)お客様のシステムに対応した脆弱性対処済みソフトウェアの選定、バージョンアップ時に必要なメモリ容量の調査についてはお客様の作業になります。但し、お客様のご要望により有償にて弊社にて作業することが可能です。
(2)ソフトウェアを変更した場合、フラッシュメモリ(コンパクトフラッシュ等)やメインメモリ(DRAM等)の容量が不足する場合が有ります。それらのメモリ容量が不足する場合には、お客様に追加のメモリをご購入いただく必要が有ります。
ソフトウェアの変更をする前に、各メモリ容量を確認して下さい。必要メモリ容量に関しては、シスコシステムズ社ホームページのRelease Notes等を参照下さい。
以下Base Releaseのホームページから該当する製品のRebuild、MaintenanceバージョンのRelease Notesへリンクされています。
(注)本ページの内容は予告なく変更することがございます。
