平素より、弊社ネットワーク製品に対し格別のご高配を賜り深謝申し上げます。
以下に、NTP(Network Time Protocol)の脆弱性について報告致します。

1.　本件の対象となる製品

NTPが設定されている下記製品が対象です。NTP機能を使用していない場合には、対象外になります。

2.　出典

Common Vulnerabilities and Exposures CVE-2009-3563
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3563

US-CERT Vulnerability Note VU#568372
Date：December 8, 2009
Topic：NTP mode 7 denial-of-service vulnerability
https://www.kb.cert.org/vuls/id/568372

3.　概要

NTP機能において、IPソースアドレスを詐称したNTP mode 7(MODE_PRIVATE)パケットを受信することに起因してサービス妨害が引き起こされる可能性があります。

4.　影響

ネットワークトラフィックが増大し、CPU負荷が上昇します。
弊社製品では、IP8800/SS1200シリーズ以外の製品が本脆弱性の影響を受けます。
なお、対象製品においてもNTP機能を使用していない場合には影響を受けません。

5.　回避方法

IP8800/R400,S400,S300

コンフィグレーションにて以下2つの設定をおこなうことで、本脆弱性を回避できます。
    ntp restrict 0.0.0.0 noquery
    ntp restrict 127.0.0.1
本設定をおこなっても、NTP機能は継続して運用可能です。

IP8800/S6700,S6600,S6300

信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDPポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。
またuRPFによるフィルタリングを実施することにより、攻撃の可能性を低減できます。

IP8800/S3600,S2400

信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDPポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。

6.　対策

本脆弱性の対策版ソフトウェアを以下の日程でリリース致します。

なお、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、記載している内容を予告なく変更することがございますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。

7.　ソフトウェアの入手方法

ソフトウェアの入手やリリース日程につきましては、販売店またはお近くの弊社営業拠点にご相談下さい。