本文へジャンプ

Hitachi

ネットワーク

セキュリティ情報:
「TCP実装におけるICMPエラーメッセージ処理に関する脆弱性」対策について

1.対象製品

GR2000/GR4000/GS4000/GS3000 既存の全ソフトウェアバージョン

2.概要

TCPプロトコル(Transmission Control Protocol,RFC793)は、高信頼なIP通信を行うための、トランスポート層のプロトコルです。TCPを使用したアプリケーションを実行中に、当該TCPセッション間で発生したように成りすましたICMPエラーメッセージにて攻撃をされると、コネクション切断やスループットが低下する場合があります。

3.影響

装置がIPv4/IPv6 TCPコネクションを利用している通信(telnetやBGPなど)に対して、遠隔の第三者からの攻撃が成功する可能性があります。特に、BGPのように比較的長い時間に渡って同一のTCPコネクションを維持するプロトコルの場合は、コネクションのDoS攻撃が成功する危険性が高まります。

報告されている各種ICMPメッセージについての弊社ネットワーク製品への影響を以下に示します。なお、本装置を経由するIPv4/IPv6パケットの中継処理については影響ありません。

スループット低下に関する脆弱性について

下記のエラーメッセージにて攻撃された場合、パスMTUが置き換えられるため、不要なフラグメントによるスループット低下が発生する可能性があります。

ICMPエラーメッセージ タイプ3 コード4 (ハードエラー)
− Destinastion Unreachable − Fragmentation Needed and Don't Fragment
ICMPv6エラーメッセージ タイプ2 コード0
− Packet Too Big

また、以下のエラーメッセージにて攻撃されてもスループットの低下は殆ど発生しません。

ICMPエラーメッセージ タイプ3 コード0,1,5 (ソフトエラー)
− Destination Unreachable − Net Unreachable
− Destination Unreachable − Host Unreachable
− Destination Unreachable − Source Route Failed Unreachable
ICMPエラーメッセージ タイプ4 コード0
− Source Quench
ICMPエラーメッセージ タイプ11 コード0,1
− Time Exeeded − Time to Live exceeded in Transit
− Time Exeeded − Fragment Reassembly Time Exceeded
ICMPエラーメッセージ タイプ12
− Parameter Problem

TCPコネクションの切断に関する脆弱性について

下記のエラーメッセージにて攻撃されても、TCPコネクションが切断されることはありません。

ICMPエラーメッセージ タイプ3 コード2,3 (ハードエラー)
− Destination Unreachable − Protocol Unreachable
− Destination Unreachable − Port Unreachable
ICMPエラーメッセージ タイプ3 コード4 (ハードエラー)
− Destinastion Unreachable − Fragmentation Needed and Don't Fragment
ICMPv6エラーメッセージ タイプ1 コード1,4 (ICMPのハードエラー相当)
− Destination Unreachable − communication with destination
administratively prohibited
− Destination Unreachable − port unreachable
ICMPv6エラーメッセージ タイプ2 コード0
− Packet Too Big

4.回避策

BGPなど長時間コネクションを維持するものについては、本装置宛のICMPエラーメッセージを廃棄するようなフィルタ設定を行なってください。

5.対策バージョンおよび対策版リリース日程

下記の全てのソフトウェアバージョンに上記の脆弱性が存在します。本脆弱性に対し耐性を高めたソフトウェアを以下の日程でリリース致します。本対策版のソフトウェアは、従来のTCP実装と比較して、攻撃を成功させることが困難となり耐性が高まります。

対策版リリース日程
対象製品 型名 対策バージョン リリース日
GR2000ルーティングソフトウェア
(ROUTE-OS)		 S-9181-11 02-03-/W
GR2000ルーティングソフトウェア2
(ROUTE-OS2)		 S-9181-21 04-01-/AG
GR2000ルーティングソフトウェア3
(ROUTE-OS3)		 S-9181-31 06-05-/AR
GR2000ルーティングソフトウェア6
(ROUTE-OS6)		 S-9181-61 07-04-/AA
GR2000ルーティングソフトウェア6B
(ROUTE-OS6B)		 S-9181-6B 07-04-/W
GR2000ルーティングソフトウェア6BSEC
(ROUTE-OS6BSEC)		 S-9181-6BSEC 07-04-/W
GR2000ルーティングソフトウェア7
(ROUTE-OS7)		 S-9181-71 07-04-/W
GR2000ルーティングソフトウェア7B
(ROUTE-OS7B)		 S-9181-7B 07-04-/W
GR2000ルーティングソフトウェア8
(ROUTE-OS8)		 S-9181-81 08-03-/R
GR2000ルーティングソフトウェア8SSH
(ROUTE-OS8SSH)		 S-9181-8SSH 08-03-/R
GR2000ルーティングソフトウェア8B
(ROUTE-OS8B)		 S-9181-8B 08-03-/R
GR2000ルーティングソフトウェア8BSSH
(ROUTE-OS8BSSH)		 S-9181-8BSSH 08-03-/R
GR2000ルーティングソフトウェア8BSEC
(ROUTE-OS8BSEC)		 S-9181-8BSEC 08-03-/R
GR2000ルーティングソフトウェア8BE
(ROUTE-OS8BE)		 S-9181-8BE 08-03-/R
GR4000ルーティングソフトウェア
(OS-R)		 S-9182-11 09-02-/C
GR4000ルーティングソフトウェア
(OS-RE)		 S-9182-21 09-02-/C
GS4000スイッチングソフトウェア
(OS-SW)		 S-9183-11 09-02-/C
GS4000スイッチングソフトウェア
(OS-SWE)		 S-9183-21 09-02-/C
GS3000スイッチングソフトウェア
(OS-SW)		 S-9184-11 09-02-/C
GS3000スイッチングソフトウェア
(OS-SWE)		 S-9184-21 09-02-/C

6.対策バージョンの入手方法

対策版ソフトウェアの入手につきましては、弊社担当営業へお問い合わせください。

関連リンク

お問い合わせ