公開日:2017/07/28 最終更新日:2017/08/09

JVNVU#93329670
Open Shortest Path First (OSPF) プロトコルの複数の実装に Link State Advertisement (LSA) の扱いに関する問題

概要

Open Shortest Path First (OSPF) プロトコルを実装する複数の製品には、シーケンス番号が MaxSequenceNumber になっている Link State Advertisement (LSA) の扱いに問題が存在します。

影響を受けるシステム

  • OSPF プロトコルを実装している製品

詳細情報

データの整合性検証不備 (CWE-354) - CVE-2017-3224, CVE-2017-3752, CVE-2017-6770
OSPF プロトコルを実装する複数の製品には、シーケンス番号が MaxSequenceNumber となっている LSA の扱いに問題が存在します。

OSPF プロトコルでは、同一の LSA が存在する場合により新しい LSA を選択する処理が規定されています。RFC2328 セクション 13.1 では、同一の LSA を比較してどちらがより新しい LSA であるかを判別するアルゴリズムとして

  1. シーケンス番号がより大きいもの
  2. チェックサムの値がより大きいもの
  3. age フィールドの値が一方のみ MaxAge であった場合は MaxAge のもの
  4. (以下省略)

といった手順が規定されています。
また、ルーティングドメイン内のルータが保持している LSA のうち、シーケンス番号が MaxSequenceNumber となったものを廃棄させるため、age フィールドの値を MaxAge にした LSA を配布する "premature aging" という処理が規定されています。
しかし RFC2328 では、"premature aging" の際に配布する LSA と廃棄対象の LSA が持っているリンク情報が同一でなければならない、という明確な記載はありません。そのため、実装によっては、廃棄対象となる LSA が持っているリンク情報とは異なる、ルータが本来持っているリンク情報を持った LSA による premature aging が行われることがあります。
このような実装を使用しているネットワークにおいては、シーケンス番号が MaxSequenceNumber で不正なリンク情報を持ち、チェックサムの値が既存の LSA より大きくなるように細工した LSA を注入された場合、premature aging 処理によって細工された LSA の廃棄処理が試みられても、実際に配布される LSA よりも細工された LSA のチェックサム値が大きいために、細工された LSA がより新しいものであると見なされ、廃棄されない状態になってしまいます。その結果、同一ルーティングドメイン内に接続されているルータのルーティングテーブルが改ざんされる可能性があります。

CVE-2017-3224 は、本脆弱性の影響を受ける Quagga、ならびに Quagga を含んでいる SUSE, openSUSE, Red Hat packages などの Linux ディストリビューションを対象として、CVE-2017-3752 は、本脆弱性の影響を受ける Lenovo の 製品を対象として、また CVE-2017-6770 は、本脆弱性の影響を受ける Cisco の 製品 に、それぞれ付与されています。

想定される影響

細工された LSA を注入されることで、ルーティングテーブルの内容を改ざんされ、サービス運用妨害 (DoS) 攻撃を受けたり、ネットワークトラフィックを別のルータに誘導されたりする可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
NTT-CERT 該当製品あり 2017/08/07
アライドテレシス株式会社 該当製品あり 2017/08/09
ジェイティ エンジニアリング株式会社 該当製品無し 2017/07/28
ビー・ユー・ジーDMG森精機株式会社 該当製品無し 2017/07/28
ヤマハ株式会社 該当製品あり 2017/07/31 ヤマハ株式会社 の告知ページ
古河電気工業株式会社 該当製品無し 2017/07/28
富士通株式会社 該当製品無し(調査中) 2017/07/28
株式会社インターネットイニシアティブ 該当製品あり 2017/07/28
株式会社リコー 該当製品無し(調査中) 2017/07/28
横河メータ&インスツルメンツ株式会社 該当製品無し 2017/07/28
横河電機株式会社 該当製品無し(調査中) 2017/07/28

参考情報

  1. CERT/CC Vulnerability Note VU#793496
    Open Shortest Path First (OSPF) protocol implementations may improperly determine LSA recency
  2. RFC 2328
    OSPF Version 2

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:A/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:L
基本値: 5.8
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:A/AC:M/Au:N/C:P/I:P/A:P
基本値: 5.4
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2017-3224
CVE-2017-3752
CVE-2017-6770
JVN iPedia

更新履歴

2017/07/31
ヤマハ株式会社のベンダステータスが更新されました
2017/08/07
NTT-CERTのベンダステータスが更新されました
2017/08/09
アライドテレシス株式会社のベンダステータスが更新されました