Please note that JavaScript and style sheet are used in this website,
Due to unadaptability of the style sheet with the browser used in your computer, pages may not look as original.
Even in such a case, however, the contents can be used safely.

NTPがDDoS攻撃の踏み台として使用される問題

掲載番号:NV14-001
脆弱性情報識別番号:JVNVU#96176042, VU#348126

概要

Network Time Protocol projectが提供するNTPDのmonlist機能は、リクエストに対して非常に大きなレスポンスを返す可能性があります。
この機能へのアクセスが適切に制限されていない場合、DDoS攻撃の踏み台として使用される可能性があります。

対象製品

UNIVERGE IP8800シリーズ

影響の有無

影響あり

対象となる製品のバージョン

NTPが設定されている下記製品が対象です。
NTP機能を使用していない場合には、対象外になります。
  • IP8800/S6700,S6600,S6300
  • IP8800/S3800,S3650,S3640,S3640 ER,S3630,S2400
  • IP8800/S400,S300,R400

対処方法

[対策]
対策版ソフトウェアのリリース状況は以下の通りです。
No. 装置シリーズ名 対象ソフトウェア
製品略称		 対策バージョン 対策版リリース日
1 IP8800/S6700 OS-SE Ver.11.9.G 以降 リリース済
2 IP8800/S6600 OS-SE Ver.11.9.G 以降 リリース済
3 IP8800/S6300 OS-SE Ver.11.9.G 以降 リリース済
4 IP8800/S3800 OS-L3SA, OS-L3SL Ver.11.12 以降 リリース済
5 IP8800/S3650 OS-L3SA, OS-L3SL Ver.11.12 以降 リリース済
6 IP8800/S3640 OS-L3A, OS-L3L Ver.11.12 以降 リリース済
7 IP8800/S3640 ER
 OS-L3A, OS-L3L Ver.11.12 以降 リリース済
8 IP8800/S2500 本脆弱性には
該当しません		 - -
9 IP8800/S2400 OS-L2 Ver.11.7.G 以降 リリース済
10 IP8800/S2200 本脆弱性には
該当しません		 - -
11 IP8800/SS1250 本脆弱性には
該当しません		 - -
12 IP8800/SS1240 本脆弱性には
該当しません		 - -
13 IP8800/S3630 OS-L3A, OS-L3L Ver.11.11.B以降 リリース済
14 IP8800/S400 OS-SW, OS-SWE Ver.10-10-/R以降 リリース済
15 IP8800/S300 OS-SW, OS-SWE Ver.10-10-/R以降 リリース済
16 IP8800/SS1230 本脆弱性には
該当しません		 - -
17 IP8800/R400 OS-R, OS-RE Ver.10-10-/R以降 リリース済
最新の情報は以下のURLを参照ください。
「NTPの脆弱性」に関するご報告

ソフトウェアの入手につきましては、販売店またはお近くの弊社営業拠点にご相談ください。

[回避策]
IP8800/S6700,S6600,S6300
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。
但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。
またuRPFによるフィルタリングを実施することにより、攻撃の可能性を低減できます。

IP8800/S3800,S3650,S3640,S3640 ER, S3630,S2400
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。
但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。

IP8800/S400,S300,R400
コンフィグレーションにて以下2つの設定をおこなうことで、本脆弱性を回避できます。
ntp restrict 0.0.0.0 noquery
ntp restrict 127.0.0.1
本設定をおこなっても、NTP機能は継続して運用可能です。

iStorage NVシリーズ

影響の有無

影響あり

対象となる製品のバージョン

  • NV7500/NV5500/NV3500シリーズ
  • NV7400/NV5400/NV3400シリーズ

対処方法

[対策]
以下のURLでパッチを公開しています。

http://www.support.nec.co.jp/View.aspx?NoClear=on&id=9010104104

パッチは保守契約を結んでいただいたお客様に限定して提供させていただいています。

UNIVERGE PFシリーズ

影響の有無

影響あり

ネットワークトラフィックが増大し、CPU負荷が上昇します。

対象となる製品のバージョン

シリーズ名 ソフトウェア
PF5220 V5.0.0.1 以前
PF5240 V5.0.0.1 以前
PF5248 V5.0.0.1 以前
NTP機能を使用していない場合には影響がありません。
※NTP機能はデフォルトでは動作しません。コンフィグレーションすることで動作します。
NTPのコンフィグレーションコマンドについては、コンフィグレーションガイド Vol.1 9.1章 表9-1をご参照ください。

対処方法

[回避策]
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。
但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。

[対策]
次のバージョンのソフトウェアで対応完了しています。
最新のバージョンにバージョンアップしてください。
シリーズ名 ソフトウェア
PF5220 V5.1.0.0 以降
PF5240 V5.1.0.0 以降
V5.0.0.3
PF5248 V5.1.0.0 以降
V5.0.0.3
ソフトウェアの入手につきましては、販売店またはお近くの弊社営業拠点にご相談ください。

UNIVERGE PFシリーズ
「NTPの脆弱性」に関するご報告
http://jpn.nec.com/univerge/pflow/pfs_technical_info.html

参考情報

Japan Vulnerability Notes JVNVU#96176042:
NTP が DDoS 攻撃の踏み台として使用される問題

CERT/CC Vulnerability Note VU#348126:
NTP can be abused to amplify denial-of-service attack traffic

CVE-2013-5211:

更新情報

2016/01/29
iStorage NVシリーズを登録しました。
2014/04/08
UNIVERGE IP8800シリーズを更新しました。
・IP8800/S400, IP8800/S300, IP8800/R400の対策版ソフトウェアを
 リリースしました。
・製品名を「IP8800/S,/R」から「IP8800」に見直しました。
・対策バージョンの表記を見直しました。
2014/04/08
UNIVERGE PFシリーズを更新しました。
・対象となる製品のバージョンを「V5.0.0.1」から「V5.0.0.1 以前」に更新しました。
・対応完了したソフトウェアに「V5.0.0.3」を追加しました。
2014/02/06
UNIVERGE PFシリーズを追加しました。
2014/01/28
UNIVERGE IP8800シリーズを更新しました。
・IP8800/S3800, IP8800/S3650, IP8800/S3640, IP8800/S3640 ER,
 IP8800/S2400, IP8800/S3630の対策版ソフトウェアをリリースしました。
・対策版ソフトウェアリリース状況「No.8」の「装置シリーズ名」に誤りがありました。
 「IP8800/S250」を「IP8800/S2500」に訂正しました。
2014/01/24
UNIVERGE IP8800シリーズを登録しました。