サイト内の現在位置を表示しています。

VPN対応高速アクセスルータ UNIVERGE IXシリーズ

IX2000/IX3000シリーズTCP脆弱性問題に関する御報告

はじめに

TCPには幾つかの既存の脆弱性が報告されています。

IX2000/IX3000シリーズルータの一部機能が、TCPの脆弱性のひとつに該当することが判明致しました。

製品カテゴリ

対象装置:

IX2005,IX2105,IX2025,IX2215,IX3010,IX3110
(ゼロコンフィグモデルを含む)

対象ソフトウェア:

ゼロコンフィグモデル
ソフトウェアバージョンVer.8.2.19からVer.8.9.17Bまでの全バージョン

その他の製品
ソフトウェアバージョンVer.8.7.22からVer.8.9.17Bまでの全バージョン

TCP脆弱性問題の予測される影響

影響を受ける条件

以下、いずれかの条件に合致する場合、本脆弱性問題の影響を受けます。

  • 現在使用しているソフトウェアのバージョンがVer.8.7.22からVer.8.9.17Bの範囲に該当し、SSHサーバ機能を使用している。
  • ゼロコンフィグ機能を使用している。

SSHサーバ機能、ゼロコンフィグ機能以外のTCPアプリケーションに関しては、本脆弱性問題の影響を受けません。

機種名 ver.8.2未満 ver.8.2.19
~ver.8.6.22A
ver.8.7.22
~ver.8.9.17B
ver.8.9.19 ver.8.10.11以降
IX2005 影響を受けません 影響を受けません 影響を受けます 影響を受けません リリース対象外
IX2105、IX2025、IX2215、
IX3010、IX3110
影響を受けません 影響を受けません 影響を受けます 影響を受けません 影響を受けません
ゼロコンフィグモデル 影響を受けます 影響を受けます 影響を受けません 影響を受けません

SSHサーバ機能、ゼロコンフィグ機能使用時の影響

大量のセッション接続(SSHセッション、ゼロコンフィグ用セッション)が連続して発生した場合、IX2000/IX3000シリーズルータが再起動する可能性があります。

対策

修正ソフトウェアへのバージョンアップ

大量のセッション接続が連続して発生した場合でも、IX2000/IX3000シリーズルータの再起動が発生しないように対処しています。

回避策

SSHサーバ機能

以下のいずれかの対策を実施してください。

  1. SSHサーバ機能を使用しない
    工場出荷時の設定では SSHサーバ 機能は無効化されているため、現在の運用コンフィグに SSHサーバ機能 を有効化する設定が含まれていなければ、本脆弱性の影響を受けることはありません。
  2. SSHサーバ機能を使用する場合、IPsecなどのセキュアな通信路を使用する
    IX2000/IX3000シリーズルータでSSHサーバ機能を使用する場合、セキュアな通信路を使用することにより悪意を持った第三者からの攻撃を回避することが可能です。

上記の対策が困難な場合でも、アクセスリスト設定を行い送信元を制限することにより、本脆弱性の影響を軽減することが可能です。

設定例

ip access-list ssh-acl permit ip src [ネットワークアドレス] dest any

ssh-server ip access-list ssh-acl
ssh-server ip enable

ゼロコンフィグ機能 

以下のいずれかの対策を行うことにより、本脆弱性の影響を回避することが可能です。

  1. ARMSプロキシサーバとの接続を接続持続型で使用する

    接続持続型で使用することにより、クライアントとしてのみ動作します。

  2. ゼロコンフィグ機能に使用するTCPポートの通信を拒否する設定を行います。ゼロコンフィグ機能に使用するポートは、許可する設定が自動的に追加されるため、サーバ以外からの該当ポートへのアクセスを拒否することが可能となります。

設定例

ip access-list flt deny tcp src any dest any dport eq [ゼロコンフィグ機能TCPポート番号]
ip access-list flt permit ip src any dest any
!
interface GigaEthernet0.0
  ip filter flt 10 in

資料請求・お問い合わせ