AX-VU2008-04「IPv6 近隣探索プロトコルに存在する脆弱性」に関するご報告

AX第1版 2008-10-3

平素より、弊社ネットワーク製品に対し格別のご高配を賜り深謝申し上げます。
以下に、IPv6 近隣探索プロトコルに存在する脆弱性について報告致します。

出典

概要

IPv6の近隣探索プロトコルは、on-link(*1)ではない他装置からの近隣要請(Neighbor Solicitation:以降NSとします)メッセージに対して、以下のような挙動をとります。

  1. 当該NSメッセージに発信元リンク層オプションが添付されている場合、発信元アドレスをNDPエントリとして登録します。発信元アドレスのプレフィックスが経路表に存在しなくてもホスト経路相当として登録されます。
  2. 当該NSメッセージに対して近隣広告(Neighbor Advertisement:以降NA)メッセージを返信します。
*1
RFC2461,4861で定義されている用語です。ここでは、イーサネット等の物理インタフェースで接続され、レイヤ2通信が相互にできる全ての端末において、インタフェースに設定された全てのIPv6アドレスのプレフィックスが一致している状態とします。

影響

悪意のある攻撃者が、on-linkではないプレフィックスを持つ発信元アドレスを使用したNSメッセージを送信することにより、任意のIPv6アドレスとMACアドレスをNDPエントリとして登録させることができ、これにより意図しない通信が可能となってしまう危険性があります。
なお、この攻撃はIPv6としてon-linkの装置からのみ可能であり、ルータ越えを伴う遠隔の装置からおこなうことはできません。
弊社製品では、以下の一覧表に示す装置で本脆弱性の影響を受けます。

対象製品

対象製品
No. 装置シリーズ名 対象ソフトウェア製品略称
1 AX2000R ROUTE-OS8B, ROUTE-OS8BSEC
2 AX7700R OS-R, OS-RE
3 AX7800R OS-R, OS-RE
4 AX7800S OS-SW, OS-SWE
5 AX5400S OS-SW, OS-SWE
6 AX3600S OS-L3A, OS-L3L
7 AX6300S OS-S, OS-SE
8 AX6700S OS-S, OS-SE
9 AX2400S 本脆弱性に該当しません
10 AX1200S 本脆弱性に該当しません
11 AX620R 本脆弱性に該当しません

回避方法

インタフェースに設定されたIPv6アドレスのプレフィックス以外の発信元アドレスを持つNSメッセージをフィルタで廃棄することで回避可能です。但し、AX3600Sシリーズ製品に関しては、NSメッセージを指定したフィルタ廃棄ができないので、発信元IPv6アドレスのプレフィックスを指定して、本来受信するインタフェースのみから受信するように設定することにより安全性を高めることができます。なお、AX6300SおよびAX6700Sシリーズ製品においてはuRPF (Unicast Reverse Path Forwarding)機能により簡易に同種の設定が可能です。

今後の対応について

現在の対応策の検討をおこなっております。当面は【回避方法】に記載の方法にて運用回避をお願いいたします。

なお、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、記載している内容を予告なく変更することがございますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。