Cisco製品の一部に2種類の脆弱性、DoS攻撃を受ける恐れ

Cisco Systemsのネットワーク機器の一部に、それぞれ異なる2種類の脆弱性が発見された。同社では早期のパッチ適用を呼びかけている。

[ITmedia]

　Cisco Systemsのネットワーク機器に、2種類の脆弱性が発見された。同社ではパッチの適用を呼びかけている。

　1つめの問題は、Catalystスイッチが搭載する「CatOS」に存在するDoS（サービス妨害）の脆弱性だ。TCPの3ウェイハンドシェイクの処理に問題があり、TelnetやHTTP、SSHサービス経由でこの問題を悪用されると、スイッチの停止や再起動を余儀なくされる恐れがある。

　問題が存在するのは、「Catalyst 6000シリーズ」「同5000シリーズ」「同4500シリーズ」「同4000シリーズ」など一部の機種。同じCatalystでもCatalyst 8500シリーズやCatalyst 3750などには影響しない。また、同社のルータ用専用OS「IOS」には、この問題は存在しないという。

　Ciscoでは無償で、この問題が修正されたソフトウェアを提供している。またアップグレードが困難な場合は、管理用コンソールからのアクセスしか許可しないようACLやVLAN設定を適切に行うという回避策も紹介している。

　もう1つの問題は、IPSec VPN Services Module（VPNSM）を搭載しているハイエンドスイッチの「Catalyst 6500シリーズ」および「Cisco 7600 シリーズ」ルータに存在するDoSの脆弱性だ。IPSec VPNのトンネルを確立するときの鍵交換などに用いられるIKEパケットに細工を施すことで、機器がクラッシュする恐れがあるという。

　残念ながらこちらの問題には根本的な回避策はない。今のところ脆弱性が悪用されたという報告はないというが、Ciscoでは早期に利用している機器／バージョンを確認し、パッチを適用するよう推奨している。