AX-VU2014-01「NTPの脆弱性」に関するご報告(2014年1月20日)(2014年5月12日更新)
AX第1版 2014-1-20
AX第2版 2014-4-2
AX第3版 2014-5-12
アラクサラネットワークス株式会社
平素より、弊社ネットワーク製品に対し格別のご高配を賜り深謝申し上げます。
以下に、NTP(Network Time Protocol)の脆弱性について報告致します。
出典
- US-CERT Vulnerability Note VU#348126
- Date: January 10, 2014
Topic: NTP can be abused to amplify denial-of-service attack traffic - JP-CERT
概要
NTP機能において、特定のNTP制御パケットを受信することに起因してサービス妨害が引き起こされる可能性があります。
影響
ネットワークトラフィックが増大し、CPU負荷が上昇します。
弊社製品では、AX4600S、AX2500S、AX2200S、AX1200S、AX620R以外の製品が本脆弱性の影響を受けます。
なお、対象製品においてもNTP機能を使用していない場合には影響を受けません。
回避方法
<AX7800S> <AX5400S> <AX7800R> <AX7700R> <AX2000R>
コンフィグレーションにて以下2つの設定をおこなうことで、本脆弱性を回避できます。
設定例
ntp restrict 0.0.0.0 noquery ntp restrict 127.0.0.1
本設定をおこなっても、NTP機能は継続して運用可能です。
<AX8600R> <AX6700S> <AX6600S> <AX6300S>
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。
またuRPFによるフィルタリングを実施することにより、攻撃の可能性を低減できます。
<AX3800S> <AX3600S> <AX2400S>
信頼できるネットワーク以外に接続されたインタフェースからのNTPパケット(UDP ポート123)をアクセスリストによるフィルタで廃棄する運用を推奨いたします。但し、NTPパケットを廃棄対象としたインタフェースに接続された機器とのNTPの運用はできません。
対策
本脆弱性の対策版ソフトウェアを以下の日程でリリース致します。
No | 装置シリーズ名 | 対象ソフトウェア 製品略称 |
対策バージョン | 対策版リリース日 |
---|---|---|---|---|
1 | AX8600R | OS-RE | Ver 12.2 以降 | リリース済 |
2 | AX7800S | OS-SW, OS-SWE | Ver 10.10.R 以降 | リリース済 |
3 | AX6700S | OS-SE | Ver 11.9.G 以降 | リリース済 |
4 | AX6600S | OS-SE | Ver 11.9.G 以降 | リリース済 |
5 | AX6300S | OS-SE | Ver 11.9.G 以降 | リリース済 |
6 | AX5400S | OS-SW, OS-SWE | Ver 10.10.R 以降 | リリース済 |
7 | AX4600S | 本脆弱性には該当しません | - | - |
8 | AX3800S | OS-L3SA, OS-L3SL | Ver 11.12 以降 | リリース済 |
9 | AX3600S | OS-L3SA, OS-L3SL OS-L3A, OS-L3L |
Ver 11.11.B(AX3630S) Ver 11.12 以降(他) |
リリース済 |
10 | AX2500S | 本脆弱性には該当しません | - | - |
11 | AX2400S | OS-L2 | Ver 11.7.G 以降 | リリース済 |
12 | AX2200S | 本脆弱性には該当しません | - | - |
13 | AX1200S | 本脆弱性には該当しません | - | - |
14 | AX7800R | OS-R, OS-RE | Ver 10.10.R 以降 | リリース済 |
15 | AX7700R | OS-R, OS-RE | Ver 10.10.R 以降 | リリース済 |
16 | AX2000R | ROUTE-OS8B, ROUTE-OS8BSEC | 無し | - |
17 | AX620R | 本脆弱性には該当しません | - | - |
なお、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、記載している内容を予告なく変更することがございますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。
ソフトウェアの入手方法
ソフトウェアの入手につきましては、ご購入元にご確認ください。