Cisco IOSに機能停止につながる脆弱性

[IDG Japan]

　Cisco Systemsの一部のルータとスイッチに、機能停止を引き起こす恐れのあるソフトウェア上の脆弱性が発見された。

　Ciscoによると、IOSのバージョン12.2Sを使い、DHCPサーバおよびDHCPリレー機能をオンにしている機器では、攻撃者から特殊設計のDHCPパケットを大量に送り込まれた場合、利用不能に陥る恐れがある。

　問題は、IOS 12.2SのDHCPパケット処理方法に存在している。攻撃者が機器を混乱させる目的で変則的なDHCPパケットを送ると、そのパケットは除外されずキューに残る。「インプットキューサイズ相当の多数のパケットが送られた場合、そのインタフェース上で、それ以上のトラフィックが受け付けられなくなる」とCiscoは説明。この結果、その機器は、パケットのルーティングやスイッチングをしなくなる。

　DHCPサービスは、IOSソフトのデフォルト設定でオンになっている。つまり、対象のルータやスイッチでDHCPサービスを提供していない場合であっても攻撃を受ける可能性があるということだ。その機器が脆弱でないことを確かめるためには、設定表示が「no service dhcp」となっている必要がある。

　対象のルータとスイッチは以下の通り。

• Cisco 7200、7300、7500

• Cisco 2650、2651、2650XM、2651XM Multiservice platform

• Cisco ONS15530、ONS15540

• Cisco Catalyst 4000、Sup2plus／Sup3／Sup4／Sup5モジュール

• Cisco Catalyst 4500、Sup2Plus TS

• Cisco Catalyst 4948、2970、3560、3750

• Cisco Catalyst 6000、Sup2/MSFC2およびSup720/MSFC3

• Cisco 7600 Sup2/MSFC2およびSup720/MSFC3

　Ciscoでは、対象機器でDHCPサービスを使い続けたい顧客向けに、修正プログラムを無償で提供している。