Cisco製品の脆弱性を突く攻撃ツール登場 28
あなたのルータは大丈夫? 部門より
KyaTanaka 曰く、 "ちょっと前の話になるが、IT mediaに、Cisco製品の9種類の脆弱性を付いて攻撃を仕掛けるツール「Cisco Global Exploiter」が出回っているとの記事が掲載されている。攻撃対象となっている脆弱性は、全て解消したVersionのReleaseが済んでいるものだが、Cisco自身は改めて先日Cisco Product Security Advisories and NoticesにCisco Security Notice: Exploit for Multiple Cisco Vulnerabilitiesと、題する文書を掲載、パートナーやユーザーに対し注意を呼びかけている。と、これが3月末の出来事。"
"しかし問題はこれでは済まなかった。現在Ciscoの文書に掲載されている脆弱性は10個。これはITmedia記事掲載/Cisco文書公開の後、「Cisco Global Exploiter」がターゲットとして新たに1個の脆弱性を追加したためだ。Ciscoの文書にはその為に改版された旨明記されている。
当初のReleaseから間もないうちに1個の脆弱性が追加されたように、今後「Cisco Global Exploiter」は攻撃対象としてす脆弱性を増やしてくる可能性が考えられる。PCなどに比べルーターやスイッチといったネットワーク機器におけるセキュリティホールは、バージョンアップ作業を行う際にネットワークの停止を伴うため、対応が後手になっているケースもあると思われる。しかし、既に攻撃ツールは容易に入手可能な状況になっているという比較的危険な状況。Ciscoの文書に掲載されている10個の脆弱性のみでなく、過去Releaseされたセキュリティホールに対して十分な対応が取られているか、一度確認を取っておいたほうがよさそうだ。"
お手元のCISCOルータは脆弱性が解決されているだろうか?心当たりの方は確認と対策を。
10種類のExploit (スコア:2, 興味深い)
printf "[1] - Cisco 677/678 Telnet Buffer Overflow Vulnerability\n";
printf "[2] - Cisco IOS Router Denial of Service Vulnerability\n";
printf "[3] - Cisco IOS HTTP Auth Vulnerability\n";
printf "[4] - Cisco IOS HTTP Configuration Arbitrary Administrative Access Vulnerability\n";
printf "[5] - Cisco Catalyst SSH Protocol Mismatch Denial of Service Vulnerability\n";
printf "[6] - Cisco 675 Web Administration Denial of Service Vulnerability\n";
printf "[7] - Cisco Catalyst 3500 XL Remote Arbitrary Command Vulnerability\n";
printf "[8] - Cisco IOS Software HTTP Request Denial of Service Vulnerability\n";
printf "[9] - Cisco 514 UDP Flood Denial of Service Vulnerability\n";
printf "[10] - CiscoSecure ACS for Windows NT Server Denial of Service Vulnerability\n\n";
みんつ
Linuxルータって (スコア:2, 興味深い)
メルコとかメルコとかメルコとか。
セキュリティ問題でファームをって話を聞かないので。
Re:Linuxルータって (スコア:1)
それはただ聞いていないだけでは?
発売前のルータの評価記事を書いていて、問題があってどうしようかなぁと思っていたら、アップデートが出てテストを全部やり直したこともあります。
Re:Linuxルータって (スコア:1)
(たとえば最近でいうと無線LANのスループットなんて
発売直前までいろいろがんばってたんじゃないかな)
kernelとかwebサーバとか(公開しないけど)の
セキュリティホール修正ではないですよね。
#以外と業界人がいてちょっとびっくり
Re:Linuxルータって (スコア:1)
外側からつつかれちゃうという単純なものでしたが。
Re:Linuxルータって (スコア:1)
少し違いますがLinuxZaurusですらbrk以降のkernelセキュリティホールが放置されて居ますし。
# SpecialKernelには反映してもらいました
# rm -rf ./.
Re:Linuxルータって (スコア:0)
セキュリティホールについてはメーカーの保守/保証体制(契約)次第ではないでしょうか。
ちなみに私のいる会社ではセキュリティホールは即時対応を必須事項として販売しています。主に大規模向けですが、24時間年中無休で要員が待機していますよ。
Re:Linuxルータって (スコア:1)
「ネットにつながんねえぞ。ルータのリブートでもするか」
「お、なおった。なおった」
って感じだから、ワームとかで攻撃されないかぎり
ファームのアップグレードなんてないんじゃないの。
romfffromのコメント設定
AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
Re:Linuxルータって (スコア:1)
「おい、客からつながんねえって、クレームきてんぞ」
「え、ルーターは落ちてないっすよ。」
30分ほど調べる。
「IFのキューが詰まってるみたいっすね」
「リブートしても、また攻撃されたらたまんないしな」
1時間ほど議論
「ま、リブートでもするか」
1週間ほど新しいIOSを検証
って感じになると思う。
romfffromのコメント設定
AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
Re:Linuxルータって (スコア:0)
ルーターにloginされたりルーターをトンネルにされたりしたら、
なかなかユーザーには判らなくて、踏台にという事がありそうだ。
ルーターは自作するのが一番ですな (スコア:1, おもしろおかしい)
Re:ルーターは自作するのが一番ですな (スコア:1, すばらしい洞察)
PCベースでは逆に管理が繁雑になったり、信頼性が無かったりするのじゃないか。
Re:ルーターは自作するのが一番ですな (スコア:1)
PCベースでルータを構築していて、
インテルアーキテクチャであることが外部から分かってしまうだけでも
厳密にセキュリティ的には決してよくはないわけですから。
Re:ルーターは自作するのが一番ですな (スコア:2, 参考になる)
基本的にダメ。PCとかそういうのは関係ない。
インテルアーキテクチャで動いているルータは、
世の中に沢山あるよ。CPU が Pentium 系って
いうルータもあるし、ASIC が Intel っていう
ルータもある。
--- show mpls ldp neighbor
Re:ルーターは自作するのが一番ですな (スコア:0)
# 1Uハーフサイズのヤツ。
# 友人曰く「IOSから毛がたくさん抜けたようだ」
Re:ルーターは自作するのが一番ですな (スコア:1, 興味深い)
だが…。
GSR124xx シリーズのパケット処理能力をもったルータを
自分で作れるやつって、世の中にどれぐらいいるんだ?
自作できるルータなんぞ、ブロードバンドルータの代わり
レベルだろ。
主に Cisco が使われる部分のルータには使えないよ。
UNIX ライクな OS に Zebra とか ZebOS とか言われても、
正直、まだ使えたもんじゃない。
って、俺、釣られたんか?
Re:ルーターは自作するのが一番ですな (スコア:0)
たぶん、ね。^^
Re:ルーターは自作するのが一番ですな (スコア:0)
安価に高速ルータ作る素材は整いつつあるんだけど、
結局バススピードがネックになるんですよね。
でも、Intelもそのあたり考えてるみたいで、IA-32+高速バス
のプラットフォーム提案してますね。去年のN+Iで見た気がする。
CompactPCIぐらいのカードで
Re:ルーターは自作するのが一番ですな (スコア:0)
Catalyst3550-12T とかだと、100万とかそこいらで
Giga が 12ポートでフルワイヤ出せるんだけど…。
Re:ルーターは自作するのが一番ですな (スコア:0)
Re:ルーターは自作するのが一番ですな (スコア:1)
L2 の機能あるかどうかぐらいしか差がないと思うんですが。
--- show mpls ldp neighbor
Re:ルーターは自作するのが一番ですな (スコア:1)
L2以下がEthernetの口以外もサポートしたものを
(例えば、BRIやATMなど)
ルータとしているような気もしますが、
本当のところはどうか分かりません。
# NPE-400にさんざん泣かされた経験ありの人
[]_g@
Re:ルーターは自作するのが一番ですな (スコア:1)
最近は STP 喋る機械をスイッチと言っています。
# STP の on/off ができる機械も出てきていたり・・・。
Re:ルーターは自作するのが一番ですな (スコア:0)
自宅用のお遊びには良いかも知れないけどね
最近の高速ルータと呼ばれる機器のPPSがどの程度か知らずに発言しているのだろうが
PC-UNIXごときで そんな処理能力が出せるわけがない
Re:ルーターは自作するのが一番ですな (スコア:0)
Re:ルーターは自作するのが一番ですな (スコア:0)
それに、MTBFやらMTTRやらの検証も必要ですな。
なんだかPIXの話題を出されている方もいらっしゃるようですが、
ソフトウェア処理を行うFWを例に出してCPUがあーだこーだ言っても
仕方無いと思うのですが如何でしょう。それならFW-1だって一緒。
Re:ルーターは自作するのが一番ですな (スコア:1)
実際に製品いれてみんとわからんのよね。
CoSine とか Juniper とかはどう思います?
--- show mpls ldp neighbor
中古の場合 (スコア:0)