Japan

8番街


 Express5800シリーズ製品のSNMP機能の脆弱性に関する対応について  
2002年6月10日更新

1.CERT勧告におけるセキュリティ問題ついて

  2月12日にCERT(Computer Emergency Response Team)より、セキュリティ問題として SNMP(Simple Network Management Protocol)に複数の脆弱性があることが報告されました。
 ( CERT Advisory CA-2002-03 : 英文 )
  この報告によると、多くの機器に実装されているSNMPというプロトコルにおいて、SNMPパケットを適切に処理できない場合があることが判明し、これによりネットワークの停止や機器の動作不安定といったDoS(Denial of Service、サービス停止攻撃)を受けたり、バッファ・オーバフローを引き起こされて第三者に管理者権限を取得される危険性があります。また、この脆弱性はネットワーク機器のみでなくSNMPサービスが動作しているサーバ等にも注意が必要です。


2. Express5800シリーズ製品の影響範囲

  現在、Express5800シリーズ製品で、本問題の影響の有無が判明している製品について、以下にその内容と対策を記述いたします。また、下記以外に影響のある製品が判明した場合や、対策パッチにつきましては、随時本Webサイトにて掲載いたします。

製品名 調査状況および対策
ESMPRO/ServerManager
影響: 攻撃を受けた場合、アプリケーションエラーになりESMPRO/ServerManager、ESMPRO/ClientManager、ESMPRO/Netvisorの監視機能が利用できなくなります。
対策: 対策パッチ適用が必要。
対策パッチはこちらを参照ください。
ESMPRO/ClientManager
ESMPRO/Netvisor
ESMPRO/ServerAgent
影響: 攻撃を受けた場合、SNMP機能が停止し、ESMPRO/ServerAgentの機能が利用できなくなります。
対策: オペレーティングシステムの対策パッチ適用が必要。
・WindowsNT4.0 :ベンダ元で対策パッチ公開済み
・Windows2000/XP :ベンダ元で対策パッチ公開済み
・NetWare4/5/6 :ベンダ元で対策パッチ公開済み
・NICS
(Novell Internet
  Caching System)
:対処パッチ未公開
・Linux :ディストリビュータで対策パッチ公開済み
RedHat7.2, Miracle2.0につきましては、対策パッチ適用時に一部設定ファイルの退避が必要になります。RedHat7.2, Miracle2.0以外は、オペレーティングシステムとあわせてESMPRO/ServerAgentの対策パッチ適用が必要です。
退避方法、対策パッチはこちらを参照ください。
SmartUPS用 SNMPカード
 (N8580-32/N8180-32)
影響: 攻撃を受けた場合、Card製品をハードウェアリセットをするまで、サービス拒否が発生したり権限を越えた不正なアクセスをされる可能性があります。
対策: 対策パッチ適用が必要。
なお、対策パッチ提供につきましては、原則OEMベンダ元の方針に従った対応になります。OEMベンダのWebサイトからの情報も併せてご参照頂き、対策パッチが提供されている場合は適用を推奨いたします。
対策パッチはこちらを参照ください。
Internet Appliance Server
 
対策: 各モデル毎に対応策が異なります。
詳細はこちらを参照ください。
WebSAM製品につきましては、http://www.sw.nec.co.jp/middle/WebSAM/snmp.htmlをご参照下さい)

なお、オペレーティングシステム、OEM側の対策パッチ提供につきましては、原則ベンダ元の方針に従った対応になります。各ベンダのWebサイトからの情報も併せてご参照頂き、対策パッチが提供されている場合は適用を推奨いたします。

・WindowsNT、Windows2000/XP、Netware、NICS
  ベンダ元のWebサイトは以下のページをご参照下さい。
マイクロソフト株式会社 http://www.microsoft.com/japan
ノベル株式会社 http://www.novell.co.jp/

※Express5800/StorageServerおよびiStorage NSシリーズのパッチ適用につきましては、適用方法こちらを参照ください。

・LINUX
  RedHat7.2、Miracle2.0につきましては、既にお客様の機器にESMPRO/ServerAgentがインストールされている場合、ベンダ元の対策パッチをそのまま適用すると、一部の設定ファイルが上書きされるため事前に待避が必要になります。Linuxベンダの対策パッチ適用につきましては、適用方法についてはこちらを参照ください。

・SmartUPS用 SNMPカード
  ベンダ元のWebサイトは以下のページをご参照下さい。
株式会社エーピーシー・ジャパン http://www.apc.co.jp/


3. 影響が判明するまでの対策

  基本的に外部(インターネット)から切り離された環境では、攻撃の被害を受けることはありません。この問題はサーバだけでなく他のネットワーク機器などにも共通する問題です。
なお、対策パッチを適用するまでは、以下に挙げる方法での対応を推奨いたします。

<1>

外部との境界に設置してあるファイアウォール, ルータでフィルタリングをかける。
SNMPではマネージャ/エージェント間の情報を、161と162番ポートを使い通信します。そのため、UDPとTCPそれぞれの161と162番ポートをフィルタリングする必要があります。その際、外部からのパケットだけでなく、内部からのパケットもフィルタリングして下さい(攻撃の踏み台とされるのを防ぐためです)。
また、ブロードキャストを用いた攻撃も考えられますので、ブロードキャストパケットもフィルタリングして下さい。

<2>

コミュニティ・ネームを変更する。
SNMPでは、マネージャ/エージェントの関係はコミュニティ・ネームと呼ばれる文字列を元に識別・形成されます。そのため、デフォルトのコミュニティ・ネーム("public"など)を用いている場合、比較的攻撃を受け易くなります。別の文字列へと変更してください。
(注) 今回の問題では、コミュニティ・ネームとは無関係な脆弱性が存在します。そのため、必ず他の対策も併せて立てる必要があります。