Japan
サイト内の現在位置を表示しています。
NTPがDDoS攻撃の踏み台として使用される問題
掲載番号:NV14-001
脆弱性情報識別番号:JVNVU#96176042, VU#348126
概要
Network Time Protocol projectが提供するNTPDのmonlist機能は、リクエストに対して非常に大きなレスポンスを返す可能性があります。
この機能へのアクセスが適切に制限されていない場合、DDoS攻撃の踏み台として使用される可能性があります。
対象製品
UNIVERGE IP8800シリーズ
影響の有無
影響あり
対象となる製品のバージョン
NTPが設定されている下記製品が対象です。
NTP機能を使用していない場合には、対象外になります。
- IP8800/S6700,S6600,S6300
- IP8800/S3800,S3650,S3640,S3640 ER,S3630,S2400
- IP8800/S400,S300,R400
対処方法
[対策]
対策版ソフトウェアのリリース状況は以下の通りです。
| No. | 装置シリーズ名 | 対象ソフトウェア 製品略称 |
対策バージョン | 対策版リリース日 |
| 1 | IP8800/S6700 | OS-SE | Ver.11.9.G 以降 | リリース済 |
| 2 | IP8800/S6600 | OS-SE | Ver.11.9.G 以降 | リリース済 |
| 3 | IP8800/S6300 | OS-SE | Ver.11.9.G 以降 | リリース済 |
| 4 | IP8800/S3800 | OS-L3SA, OS-L3SL | Ver.11.12 以降 | リリース済 |
| 5 | IP8800/S3650 | OS-L3SA, OS-L3SL | Ver.11.12 以降 | リリース済 |
| 6 | IP8800/S3640 | OS-L3A, OS-L3L | Ver.11.12 以降 | リリース済 |
| 7 | IP8800/S3640 ER | OS-L3A, OS-L3L | Ver.11.12 以降 | リリース済 |
| 8 | IP8800/S2500 | 本脆弱性には 該当しません |
- | - |
| 9 | IP8800/S2400 | OS-L2 | Ver.11.7.G 以降 | リリース済 |
| 10 | IP8800/S2200 | 本脆弱性には 該当しません |
- | - |
| 11 | IP8800/SS1250 | 本脆弱性には 該当しません |
- | - |
| 12 | IP8800/SS1240 | 本脆弱性には 該当しません |
- | - |
| 13 | IP8800/S3630 | OS-L3A, OS-L3L | Ver.11.11.B以降 | リリース済 |
| 14 | IP8800/S400 | OS-SW, OS-SWE | Ver.10-10-/R以降 | リリース済 |
| 15 | IP8800/S300 | OS-SW, OS-SWE | Ver.10-10-/R以降 | リリース済 |
| 16 | IP8800/SS1230 | 本脆弱性には 該当しません |
- | - |
| 17 | IP8800/R400 | OS-R, OS-RE | Ver.10-10-/R以降 | リリース済 |
最新の情報は以下のURLを参照ください。
「NTPの脆弱性」に関するご報告
ソフトウェアの入手につきましては、販売店またはお近くの弊社営業拠点にご相談ください。
[回避策]
IP8800/S6700,S6600,S6300
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。
但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。
またuRPFによるフィルタリングを実施することにより、攻撃の可能性を低減できます。
IP8800/S3800,S3650,S3640,S3640 ER, S3630,S2400
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。
但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。
IP8800/S400,S300,R400
コンフィグレーションにて以下2つの設定をおこなうことで、本脆弱性を回避できます。
|
ntp restrict 0.0.0.0 noquery ntp restrict 127.0.0.1 |
本設定をおこなっても、NTP機能は継続して運用可能です。
iStorage NVシリーズ
影響の有無
影響あり
対象となる製品のバージョン
- NV7500/NV5500/NV3500シリーズ
- NV7400/NV5400/NV3400シリーズ
対処方法
[対策]
以下のURLでパッチを公開しています。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010104104
パッチは保守契約を結んでいただいたお客様に限定して提供させていただいています。
https://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010104104
パッチは保守契約を結んでいただいたお客様に限定して提供させていただいています。
UNIVERGE PFシリーズ
影響の有無
影響あり
ネットワークトラフィックが増大し、CPU負荷が上昇します。
対象となる製品のバージョン
| シリーズ名 | ソフトウェア |
| PF5220 | V5.0.0.1 以前 |
| PF5240 | V5.0.0.1 以前 |
| PF5248 | V5.0.0.1 以前 |
NTP機能を使用していない場合には影響がありません。
※NTP機能はデフォルトでは動作しません。コンフィグレーションすることで動作します。
NTPのコンフィグレーションコマンドについては、コンフィグレーションガイド Vol.1 9.1章 表9-1をご参照ください。
対処方法
[回避策]
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。
但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。
[対策]
次のバージョンのソフトウェアで対応完了しています。
最新のバージョンにバージョンアップしてください。
| シリーズ名 | ソフトウェア |
| PF5220 | V5.1.0.0 以降 |
| PF5240 | V5.1.0.0 以降 V5.0.0.3 |
| PF5248 | V5.1.0.0 以降 V5.0.0.3 |
ソフトウェアの入手につきましては、販売店またはお近くの弊社営業拠点にご相談ください。
UNIVERGE PFシリーズ
「NTPの脆弱性」に関するご報告
https://jpn.nec.com/univerge/pflow/pfs_technical_info.html
参考情報
Japan Vulnerability Notes JVNVU#96176042:
NTP が DDoS 攻撃の踏み台として使用される問題
CERT/CC Vulnerability Note VU#348126:
NTP can be abused to amplify denial-of-service attack traffic
CVE-2013-5211:
更新情報
- 2016/01/29
- 2014/04/08
-
リリースしました。NEW
- 2014/04/08
- 2014/02/06
- 2014/01/28
- 2014/01/24