米Cisco Systemsは米国時間9月8日,同社の「Cisco IOS」を搭載したネットワーク機器が影響を受けるセキュリティ・ホール情報を公表した。特定バージョンのCisco IOSに含まれるFTPおよびTelnetの認証プロキシ(Firewall Authentication Proxy for FTP/Telnet)にはバッファ・オーバーフローのセキュリティ・ホールが存在するという。このため,細工が施されたデータを送信されるとIOSが再起動したり,IOS上で任意のプログラムを実行されたりする可能性がある。

 影響を受けるIOSのバージョンは,12.2ZH,12.2ZL,12.3,12.3T,12.4,12.4T。FTPあるいはTelnetの認証プロキシ(Firewall Authentication Proxy for FTP/Telnet)を設定していない場合には影響を受けない。また,HTTPおよびHTTPSの認証プロキシ(Firewall Authentication Proxy for HTTP/HTTPS)には今回のセキュリティ・ホールはない。

 Cisco IOSが備えるFirewall Authentication Proxyは,ユーザーごとに特定のポリシーを適用できる機能である。例えば, Firewall Authentication Proxy for FTP/Telnetを使えば,許可しているユーザーにはCisco IOSが稼働する機器経由で,社内(組織内)などのネットワーク・サービスにFTP/Telnetでログインさせることができる。このときのユーザー認証にはRADIUSやTACACS+を利用する。

 今回,セキュリティ・ホールが見つかったのは,このユーザー認証の部分である。特定バージョンのCisco IOSに含まれるFirewall Authentication Proxy for FTP/Telnetには,ユーザー認証情報を処理するコードに不具合があることが明らかとなった。具体的には,バッファ・オーバーフローのセキュリティ・ホールが存在する。このため,細工が施されたデータを送られるとバッファ・オーバーフローが発生して,DoS(サービス妨害)攻撃を許したり,任意のプログラムを実行されたりする恐れがある。

 対策は影響を受けないバージョンにアップグレードすること。アップグレードに関する情報は,同社の公開したアドバイザリの「Software Versions and Fixes」に詳しい。Firewall Authentication Proxy for FTP/Telnetを無効にすることも,当然回避策となる。回避策については,「Workarounds」の項を参照のこと。

◎参考資料
Cisco Security Advisory: Cisco IOS Firewall Authentication Proxy for FTP and Telnet Sessions Buffer Overflow
Cisco IOS Authentication Proxy for FTP/Telnet Buffer Overflow
Cisco IOS Firewall Authentication Proxy Buffer Overflow Vulnerability