AX-VU2009-02「NTPの脆弱性」に関するご報告

AX第1版 2009-12-21
AX第2版 2010-9-10
アラクサラネットワークス株式会社

平素より、弊社ネットワーク製品に対し格別のご高配を賜り深謝申し上げます。
以下に、NTP(Network Time Protocol)の脆弱性について報告致します。

出典

Common Vulnerabilities and Exposures CVE-2009-3563
US-CERT Vulnerability Note VU#568372
Date: December 8, 2009
Topic: NTP mode 7 denial-of-service vulnerability

概要

NTP機能において、IPソースアドレスを詐称したNTP mode 7 (MODE_PRIVATE) パケットを受信することに起因してサービス妨害が引き起こされる可能性があります。

影響

ネットワークトラフィックが増大し、CPU負荷が上昇します。
弊社製品では、AX1200S、AX620R以外の製品が本脆弱性の影響を受けます。
なお、対象製品においてもNTP機能を使用していない場合には影響を受けません。

回避方法

<AX7800S><AX5400S><AX7800R><AX7700R><AX2000R>

コンフィグレーションにて以下2つの設定をおこなうことで、本脆弱性を回避できます。

ntp restrict 0.0.0.0 noquery
ntp restrict 127.0.0.1

本設定をおこなっても、NTP機能は継続して運用可能です。

<AX6700S><AX6600S><AX6300S>

信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。
またuRPFによるフィルタリングを実施することにより、攻撃の可能性を低減できます。

<AX3600S><AX2400S>

信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。

対策

本脆弱性の対策版ソフトウェアを以下の日程でリリースしています。

種別情報
No 装置シリーズ名 対象ソフトウェア
製品略称
対策バージョン 対策版リリース日
1 AX7800S OS-SW, OS-SWE Ver 10.10.B 以降*1 リリース済
2 AX6700S OS-SE Ver 11.3 以降 リリース済
3 AX6600S OS-SE Ver 11.3 以降 リリース済
4 AX6300S OS-SE Ver 11.3 以降 リリース済
5 AX5400S OS-SW, OS-SWE Ver 10.10.B 以降*1 リリース済
6 AX3600S OS-L3A, OS-L3L Ver 11.2.A 以降 リリース済
7 AX2400S OS-L2 Ver 11.2.A 以降 リリース済
8 AX1200S 本脆弱性には該当しません
9 AX7800R OS-R, OS-RE Ver 10.10.B 以降*1 リリース済
10 AX7700R OS-R, OS-RE Ver 10.10.B 以降*1 リリース済
11 AX2000R ROUTE-OS8B, ROUTE-OS8BSEC Ver 8.4.M 以降 リリース済
12 AX620R 本脆弱性には該当しません
*1
本バージョンのリリースノートには本対策に対する記載がされておりませんが、次版リリースノートにて記載いたします。

なお、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、記載している内容を予告なく変更することがございますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。

ソフトウェアの入手方法

ソフトウェアの入手につきましては、ご購入元にご確認ください。