公開日:2020/06/03 最終更新日:2020/08/21

JVNTA#90492923
IP-in-IP プロトコルによる IP トンネリングが悪用され任意の宛先にパケットが送信される問題

概要

IP-in-IP プロトコルをサポートしている機器において、認証されていない攻撃者によって予期せぬ通信が行われてしまう問題が指摘されています。

影響を受けるシステム

  • IP-in-IP プロトコルをサポートし、送信元や宛先アドレスの制御が適切に行われていない機器

詳細情報

IP-in-IP (IP Encapsulation within IP) は RFC 2003 で定義された IP トンネリングのプロトコルであり、IP パケットに別の IP パケットをカプセル化することができます。IPSec VPN のトンネルモードに似ていますが、IP-in-IP は通信内容を暗号化する機能を持ちません。
IP-in-IP プロトコルに従えば、カプセル化を解除された内側の IP パケットはそのままルーティングテーブルを介して転送されます。このとき、IP-in-IP をサポートする機器において、送信元アドレスと宛先アドレスを明示的に制限せず、どのような IP アドレスも許可するよう設定されている場合、想定していなかった宛先へパケットが送信され、反射型の DDoS 攻撃に用いられたり、アクセス制限を回避するために悪用されたりする可能性があります。
このような、送信元や宛先アドレスがデフォルトの状態で制限されていないネットワーク機器が複数報告されています。[対策方法] や [ベンダ情報] を参照し、機器のアップデートの実施や適切な設定の実施など、必要な対策を行うことを推奨します。

また、IP トンネリングにおいて、カプセル化された IP パケットの送信元や宛先の確認が不十分であることに起因して発生する種々のセキュリティ上の問題点については、RFC 6169 (Security Concerns with IP tunneling) に詳しくまとめられていますので、併せて参照してください。

想定される影響

認証されていない攻撃者により、送信元や宛先アドレスの制限を行っていない脆弱なネットワーク機器を介して任意の宛先に対する通信が行われ、反射型の DDoS 攻撃や情報漏えい、アクセス制限の回避などにつながる可能性があります。

対策方法

アップデートする
本アドバイザリのベンダ情報や、CERT/CC VU#636397 に掲載されている Vendor Information を参照し、該当製品をアップデートしてください。

IP-in-IP を無効化する
IP プロトコル番号 4 のパケットをフィルタリングし、上流ルータへの送信を防ぐことで、IP-in-IP のパケットを無効化することができます。これは IPv4 ヘッダに含まれる "Protocol" フィールド (IPv6 では "Next Header" に相当) の値が "4" であるもの、という意味であり、IP プロトコルバージョン 4 (IPv4) を指すものではないことに注意してください。

PoC を確認する
本問題の報告者 Yannay Livneh 氏が作成した PoC が CERT/CC により公開されています。本問題の影響を受ける機器を判別するために活用することができます。

侵入検知システムでフィルタリングする
CERT/CC VU#636397 には、全ての IP-in-IP の通信をフィルタリングする、Snort および Suricata 用のルールが掲載されています。このルールを活用する(または書き換えて用いる)ことも有効です。

alert ip any any -> any any (msg: "IP-in-IP Tunneling VU#636397 https://kb.cert.org"; ip_proto:4; sid: 1367636397; rev:1;)

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
NTT-CERT 該当製品無し(調査中) 2020/06/03
オムロン株式会社 脆弱性情報提供済み 2020/06/03
ジェイティ エンジニアリング株式会社 該当製品無し 2020/08/21
センチュリー・システムズ株式会社 該当製品無し(調査中) 2020/06/10
ネットムーブ株式会社 脆弱性情報提供済み 2020/06/03
住友電気工業株式会社 該当製品無し 2020/06/03
古河電気工業株式会社 該当製品無し 2020/06/03
富士通株式会社 該当製品無し 2020/06/08
日本電気株式会社 該当製品無し(調査中) 2020/06/03
株式会社リコー 脆弱性情報提供済み 2020/06/03
横河計測株式会社 該当製品無し 2020/06/03

参考情報

  1. CERT/CC Vulnerability Note VU#636397
    IP-in-IP protocol routes arbitrary traffic by default
  2. RFC 2003
    IP Encapsulation within IP
  3. RFC 6169
    Security Concerns with IP Tunneling
  4. CERTCC / PoC-Exploits
    cve-2020-10136

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-10136
JVN iPedia

更新履歴

2020/06/08
富士通株式会社のベンダステータスが更新されました
2020/06/15
センチュリー・システムズ株式会社のベンダステータスが更新されました
2020/08/21
ジェイティ エンジニアリング株式会社のベンダステータスが更新されました