2.Gloval PRO Policy ManagerでのVPN設定時に、意図したよりも低い暗号高度で設定される
3.non-IPプロトコルで動作しているホストにDoSの脆弱性
6.'Malicious-URL'機能は、IPフラグメンテーションが使用された時検知できない
9.SSHv1
CRC32 AttacksがNetScreen機器にサービス妨害(DoS)を起こすことについて
10.複数のベンダにおいてインターネット鍵交換(IKE)実装が正しく IKE 応答パケットを処理しない問題に対するNetScreen社の回答
11.NetScreen社の"NetScreen-25 Unauthorized Reboot Issue"への回答
13.NetScreen ScreenOS Port Scan DoS Vulnerability
14.「Simple Network Management Protocol(SNMP)の多くのインプリメンテーションの複数の脆弱性」に対するNetScreen社の回答
2002年9月6日(金)
NetScreen Security Advisory
「複数のベンダにおいてインターネット鍵交換(IKE)実装が正しく IKE 応答パケットを処理しない問題」に対するNetScreen社からの回答
[要約]
リモートアクセスクライアントソフトウェアNetScreen-RemoteのIKE実装は、バッファオーバーフローを起こしNetScreen-Remoteシステムが特定の条件下で無応答状態になる可能性があります。2002年8月14日にVU #287771として CERT に報告されたこの問題は、複数のベンダのIKE実装に影響があります。
NetScreen社内におけるテストにより、この問題はAggressive modeで動作する全ての現行バージョン(訳注:8.0以前)のNetScreen-Remoteで、フェーズ1 IKE 鍵交換の間だけに発生することが判明しました。多数のペイロードあるいは、過度に大きいペイロードを持つ不正なIKE応答パケットがオーバーフローを引き起こし、CPUリソースを消費してNetScreen-Remoteシステムを動作不能状態にします。
デフォルトでは、NetScreen-Remoteは(Main modeでは)信頼できるVPNゲートウェイからのIKE応答パケットのみを受け入れます。それに対しAggressive modeでは、NetScreen-RemoteがVPNゲートウェイを認証する前に不正なパケットを送ることができます。VPNゲートウェイに成りすました攻撃者は、Aggressive modeで動作するNetScreen-Remote からのIKE要求に対し応答することが可能となり、これがオーバーフロー状態を引き起こす原因となります。
この問題は、NetScreen-RemoteVPNクライアントとNetScreen-Remoteセキュリティクライアント共に、バージョン8.1で解決されました。
この通知は、影響を受ける全てのNetScreenの利用者がこの問題にすぐ対処できるように公開されています。影響を受ける全ての利用者は、このアドバイザリを熟読し、(以下の)[対策]の章に記述された修正のための提案に従うことを推奨します。
[影響範囲]
バージョン8.0以前のNetScreen-RemoteをAggressive Modeで使用している場合は、この脆弱性の問題に該当します。
その他のNetScreen製品では、今のところこの脆弱性に該当しません。全てのScreenOSバージョンにおけるIKEの実装についても、上述のバッファオーバーフローの脆弱性には該当しません。
セキュリティ管理製品であるNetScreen Global-PROには、IPSecやIKE実装を含んでいないため同じく上記脆弱性に該当しません。 また、同一ネットワーク上にあるその他のNetScreen製品においても、この影響を受けたNetScreen-Remoteによって影響を受けることはありません。
[影響]
影響の大きさは、機器の設定や環境によって変化します。ほとんどのネットワークではこれらの状態は起こりませんが、影響を受けた全てのNetScreen-Remoteユーザは、それがネットワークに影響を与えることを想定し、この問題に対応することを推奨します。
この脆弱性により、Aggressive modeのNetScreen-Remoteが動作している特定の機器でシステムが使用不可の状態になる可能性があります。しかしながら、攻撃者がネットワークに不正なアクセスを行うことはできませんし、データの改ざんを行うこともできません。
[修正ソフトウェアバージョン]
この脆弱性は、バグID 287771として登録されています。この脆弱性は、2002年9月30日以降に入手可能となるNetScreen-RemoteVPNクライアントとNetScreen-Remoteセキュリティクライアント両方のバージョン8.1で解決されました。
[パッチソフトウェアの入手方法]
(訳注) 弊社NetScreenユーザーサポート netscreen-user@hitachi-system.co.jp 宛てにNetScreen−Remoteの保守用ユーザIDもしくはシリアル番号を添えてご連絡ください。NetScreen-Remoteソフトウェア保守サポートサービスのご契約を前提とさせていただきます。
[対策]
NetScreen-Remoteセキュリティクライアントのパーソナルファイアウォールソフトウェアで、IKE サービス(UDP/500番ポート)をブロックするかまたは、アクセスを信頼できる VPN ゲートウェイのみに制限してください。これは、未知あるいは信頼できないホストからのIKEトラフィックを効果的にブロック
します。また、可能な限りMain mode でIKEを使用し、Aggressive modeの使用は避けてください。
IKEを使用しないManual-Key IPSec ではこの問題は起こりません。よってManual-Keyを使うことで回避することも可能です。
[告知]
NetScreen社はこの脆弱性を利用した悪意ある行為の報告を受けていません。しかしながら、この問題の性質は、極端なケースでNetScreen-Remoteクライアントソフトウェアに対してサービス拒否攻撃をするために使われる可能があります。しかしながら、この問題は攻撃者にネットワークアクセスを許さないこと、また、データの改ざんを許さないことをご理解下さい。
この脆弱性は、NetScreen-RemoteがAggressive modeで動作している特定のマシンをクラッシュさせる可能性があります。
CERT脆弱性メモVU#287771を参照してください。(http://www.kb.cert.org/vuls/id/287771)
=======================================================================
This notice is copyright 2002 by NetScreen Technologies, Inc. This notice may be redistributed freely after the release date given at the top of the text, provided that redistributed copies are complete and unmodified, including all date and version information.
=======================================================================
原文:http://www.netscreen.com/support/alerts/9_6_02.htm
翻訳:株式会社 日立システムアンドサービス
お問合せ先:netscreen-user@hitachi-system.co.jp
ページTopに戻る
NetScreen社の"NetScreen-25 Unauthorized Reboot Issue"への回答
2002年6月3日
この問題は、2002年5月20日の週にNetScreen社に報告され、BugTraq@SecurityFocus.com(http://online.securityfocus.com/bid/4842)に、5月27日に報告されました。
報告された問題は、GUI(WebUI)に含まれています。過度に長いユーザ名が入力されたとき限界値のチェックをしていませんでしたので、NetScreenはこれに対する処理を試み、コアダンプを出力し、再起動します。再起動中はトラフィックの通信ができません。この問題はNetScreenの内部試験の中で発見され、2002年4月23日以降にリリースされたScreenOSのすべてのバージョンで修正されています。具体的には、2.6.1r8以降、2.8.0r2以降、2.8.1r1以降、3.0.1r2以降、3.0.2r3以降、3.0.3r1以降となります。3.1.0r1以降のバージョンではこの問題は発生しません。
セキュリティの基本として、選択されたインターフェースからのみ管理アクセスを許可します。そして管理アクセスを許可するソースIPアドレスを設定します(manager-ip)。さらに/またはCLI(TelnetまたはSSH)のみだけの管理アクセスを許可するように設定します。
上記のScreenOSにバージョンアップすることで、この問題を回避することができます。
翻訳:株式会社 日立システムアンドサービス
=======================================================================
NetScreenセキュリティーアドバイザリー
IP Spoof 防御の失敗
2002年1月21日(月)公開
要約
=======================================================================
Screen OSのオプション機能の1つであるIP Spoof防御は、インタフェースで受け取るすべてのフレームの送信元IPアドレスを調べ、フレームの送信元IPアドレスが他のインタフェースに接続しているネットワークに存在している場合には、そのフレームを破棄するよう設計されています。
バージョン2.6.1と3.0.0のすべてのリリースを含むScreenOSソフトウェアで、IP Spoof防御がこれらのフレームを破棄しない場合があるという潜在的な問題(バグID 14089)が、NetScreen社のテストで発見されました。
NetScreen社は、この問題を解決するソフトウェアのパッチを作成し、影響を受けるすべてのお客様に提供いたします。NetScreen社は、影響を受けるお客様に対し即座にScreenOSをアップデートすることを強く推奨します。
この通知は、影響を受けるすべてのNetScreenのお客様に、この問題の解決策を即座に実行するために公開されました。
影響を受けるお客様は、この報告をお読みになり、以下の「修正されたソフトウェアのバージョン」にScreenOSのアップデートを行ってください。
影響範囲
=======================================================================
ScreenOS 2.6.1または3.0.0で動作するNetScreen機器をご使用になり、IP Spoof防御を使用している場合に、影響があります。
以下に示すNetScreen機器をお使いでない、あるいは別バージョンのScreenOSをご使用の場合は、影響はございません。
影響を受ける機器とScreenOSのバージョン
--------------------------------------------------
NetScreen-5: ScreenOS 2.6.1r1 から 2.6.1r4 まで
NetScreen-5XP: ScreenOS 2.6.1r1 から 2.6.1r4 まで
ScreenOS 3.0.0r1 から 3.0.0r3 まで
NetScreen-10: ScreenOS 2.6.1r1 から 2.6.1r4 まで
ScreenOS 3.0.0r1 から 3.0.0r3 まで
NetScreen-25: ScreenOS 3.0.0r1
NetScreen-50: ScreenOS 3.0.0r1
NetScreen-100: ScreenOS 2.6.1r1 から 2.6.1r4 まで
ScreenOS 3.0.0r1 から 3.0.0r3 まで
NetScreen-500: ScreenOS 2.6.1r1 から 2.6.1r4 まで
ScreenOS 2.7.1r1 と 2.7.1r2.
ScreenOS 3.0.0r1 から 3.0.0r3 まで
どのバージョンのソフトウェアを使っているか調べるには、TelnetまたはシリアルコンソールインタフェースからNetScreen機器のコマンドラインインタフェース(CLI)にログインします。
プロンプトが表示されたら"get system"コマンドを実行します。最初の行の2番目の項目に、"SW Version/Checksum:"と表示されます。この":"から後ろ、"/"の前までがバージョン番号を示します。
影響
=======================================================================
NetScreen機器の構成、およびネットワーク環境によって、影響の重要度は変わります。ほとんどのネットワークではこれらの条件は稀ではありますが、影響を受けるすべての機器および構成(「影響範囲」を参照してください)は、この問題をネットワークに影響のあるものとして即座に対処するよう勧めます。
このバグにより、NetScreenが保護しているネットワーク機器やホストのサービスが使用できないようになる可能性があります。このバグは、攻撃者にネットワークへのアクセスを許可するということではありません。
修正されたソフトウェアのバージョン
=======================================================================
この問題に関連するバグは、ID 14089です。このバグは、以下のリリースで解決されています。
NetScreen-5/5xp/10/100/500: 2.6.1r5
NetScreen-500: 2.7.1r3
NetScreen-5xp/10/100/500: 3.0.0r4 ・・・※
NetScreen-25/50: 3.0.0r2
(※訳注:現在、弊社ではリリースしておりません。今後、3.0.1以降のバージョンをリリースする予定です。)
バージョン2.6.1、2.7.1または3.0.0をベースにした、非公開バージョンのScreenOSをお使いのお客様は、弊社の技術サポートに影響があるかどうか確認してください。
パッチソフトウェアの入手方法
--------------------------------------------------
NetScreen基本保守サポートサービスをご契約であれば、以下からソフトウェアを入手できます。
http://www.hitachi-system.co.jp/netscreen/sp/21_user_spp/user_sup.htm
(訳注:原文とは異なります)
ユーザIDとパスワードの入力を促されます。弊社からお知らせしたユーザIDとパスワードを入力してください。
(訳注:原文とは異なります)
(訳注:省略します)
回避策
=======================================================================
なし。
開発、アナウンス、および返答
=======================================================================
NetScreen社は、このバグによる悪意ある利用に関して、何も報告を受けていません。しかし、この問題の性質は、これがサービス攻撃の拒否を作り出すことに利用されてしまうかも知れないということです。
NetScreen社は、この通知の日付以前には、このバグの公知または討論について関知していません。
配布
--------------------------------------------------
この通知は、弊社のユーザサポートページでご覧になれます:
http://www.hitachi-system.co.jp/netscreen/sp/21_user_spp/user_sup.htm
(訳注:原文とは異なります)
=======================================================================
この通知の著作権:2002 by NetScreenテクノロジーズ社
この通知は、日付/バージョン情報が完全に複製され改変せずに再配布するという条件の元で、公開日以降自由に再配布可能です。
日本語訳: 株式会社 日立システムアンドサービス
問い合わせ: netscreen-user@hitachi-system.co.jp
(NetScreenのシリアル番号とユーザIDをお知らせください。)
=======================================================================
NetScreen ScreenOS Port Scan DoS Vulnerability
2002年2月5日
"NetScreen ScreenOS Port Scan DoS Vulnerability" に対するNetScreen社の回答
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
この問題は、2002年2月1日に BugTraq@SecurityFocus.com (http://www.securityfocus.com/cgi-bin/vulns-item.pl?section=info&id=4015)とSecurityTracker.com (http://securitytracker.com/alerts/2002/Feb/1003421.html) 他によってNetScreen社に報告されました。
報告された問題とは、NetScreenの"Trust"インターフェースのユーザから、またはそのユーザによって"Untrust"インターフェースを経由してホストに到達するポートスキャン(Port Scan)についてです。さらに、"Trusted"ネットワークに対してのDoS攻撃の結果、すべての利用できるセッションを消費する可能性があります。
ポートスキャンが、スキャン(ICMP unreachable あるいは RST のいずれかによる)に応答したホストに対して開始された場合は、NetScreenは直ちにポートスキャン中に確立されたセッションの各々を閉じ、それらを再利用可能にしなければなりませんが、それが動作していませんでした。ScreenOSのデフォルトのセッションタイムアウト値は、30分です。NetScreenにあらかじめ定義されたサービス、カスタムサービスともタイムアウト値を1分から2日間までに調節することができます。デフォルトの30分間(あるいは管理者が調節した時間)経過後に、応答がないホストへのポートスキャンはタイムアウトし、NetScreen中のセッションエントリーは再利用のためにクリアされます。
この問題は、より小さなセッションテーブルを持つNetScreenに、より速く発生します。例えば、NetScreen-5XP は最大 2,048 セッションです。NetScreen-1000 は、最大 500,000 セッションです。よって NetScreen-5XP のセッションテーブルが NetScreen-1000 よりも速く消費されます。
NetScreen社は、2001年9月の始めに、いくつかの方法によってこの問題を解決する新機能をリリースしました。1つの機能は、"Source IP Session Thresholding"と呼ばれ、この問題が発生する最初のところでその可能性を低減させるために使用します。この機能は、ScreenOS 2.6.1r2で CLI(コマンドラインインターフェース)によってサポートされ、ScreenOS 3.0では、WebUIでの設定がサポートされています。
コマンド
set firewall session-threshold source-ip-based [num]
は、Trust側の1つの"発信元IPアドレス"からの同時セッション数を[num]に制限します。NetScreen-5XPでは、2,048の同時セッション数をサポートしていますので、NetScreen社は 100、または 2048/n ("n"は"Trust"側ネットワークのシステム数)この2つの数を基準としてそれ以上を設定することを推奨いたします。また、管理者はそれがふさわしい数かどうか確かめるためにフロー・カウンターをチェックすることを推奨いたします。またフロー・カウンターに従って適宜修正をしてください。
次に、ScreenOS 3.0.0以降のリリースでは、発信元IPアドレス、送信先IPアドレス、発信元ポート番号、送信先ポート番号、発信元MACアドレス、送信先MACアドレスなどによって強制的にセッションをクリアすることができます。
例えば、コマンド
clear session dst-ip <a.b.c.d>
は、NetScreenのセッションテーブルから送信先IPアドレス a.b.c.d のすべてのセッションをクリアします。このコマンドは、すべてのセッションがタイムアウトするまで待つ、もしくはNetScreenをリセットすることなしに、ポートスキャンから回復するために使用することができます。
最後に、ScreenOS 3.1.0以降では、すべてのインターフェースにおいてポートスキャンを含むファイアウォール防御を有効にできるようになります。
NetScreen社はすべてのユーザにご使用のハードウェアがサポートしている最新のバージョンにアップグレードすることを推奨いたします。さらに、この問題による影響の可能性を最小にするため上記の機能のどれか、またはすべてを使用してください。
このドキュメントが書かれた時点での、各NetScreenにおける最新の利用可能なScreenOSバージョンは以下のとおりです。
ハードウェア ScreenOS
リリースバージョン
NetScreen-5 2.6.1r6
NetScreen-5XP 3.0.1r1
NetScreen-10 3.0.1r1
NetScreen-25 3.0.0r1
NetScreen-50 3.0.0r1
NetScreen-100 3.0.1r1
NetScreen-204 3.1.0r1
NetScreen-208 3.1.0r1
NetScreen-500 3.1.0r1
NetScreen-1000 2.8.0r1
(訳注) 以下を省略します。
=======================================================================
日本語訳: 株式会社 日立システムアンドサービス
問い合わせ: netscreen-user@hitachi-system.co.jp
(NetScreenのシリアル番号とユーザIDをお知らせください。)
=======================================================================
ページTopに戻る
2002年2月13日公開
CERT勧告 CA-2002-03「Simple Network Management Protocol(SNMP)の多くのインプリメンテーションの複数の脆弱性」に対するNetScreen社の回答
CERT勧告 CA-2002-03「Simple Network Management Protocol(SNMP)の多くのインプリメンテーションの複数の脆弱性」に回答するために、NetScreen社は
CERTおよびOUSPGより報告された多くの問題に対して、再テストを行い脆弱性を検証しました。
NetScreen Global PRO および Global PRO Express はSNMPエージェントおよびマネージャを持っていません。
よって、VU#107186(CAN-2002-0012)「SNMP v1トラップ操作の複数の脆弱性」に挙げられた問題点による影響はありません。
動作および操作には、何の変更もありません。
NetScreen社は、VU#854306(CAN-2002-0013)「SNMP v1リクエスト操作の複数の脆弱性」に挙げられた問題点を、選ばれたセキュリティ機器とScreenOSソフトウェアバージョンでテストしました。
その結果、ScreenOSの全てのバージョンに含まれるSNMPエージェントは、CERTおよびOUSPGが述べたテストによる影響を受けていることを確定しました。
NetScreen社は、影響を受けるプラットフォームとScreenOSのバージョンの全ての範囲を確認するため、テストを続行しています。
これらの脆弱性は、ある状況下においてサービス拒否を発生させるために悪用されるおそれがあります。
これらの脆弱性は、機器の管理制御を奪う目的では使用できません。
NetScreen社は、これらの脆弱性を解決するScreenOSソフトウェアの修正版を可能な限り速やかに開発およびテストするため作業しています。
2002年2月13日(水)以降にNetScreen社より出荷される全てのNetScreenセキュリティ機器には、工場出荷の段階でこれらの脆弱性を解決したソフトウェアがプレインストールされています。
この情報は既にCERT/CCに伝達されています。
これらの修正版が準備されテストされる間、この警告に挙げられた問題点による影響を最小限にするいくつかの手段があります。
デフォルトでは、ScreenOS内のSNMPエージェントは有効になっていません。エージェントが有効になっている場合は、それぞれ個々のインタフェースで明確に有効に設定されているはずです。
NetScreen社はSNMPを無効に設定するよう推奨します。SNMPを有効に設定しなければならない場合は、必要なインタフェースだけに設定してください。
もし管理をUntrustインタフェース経由で到達するホストから行わなければならない場合は、IPSecトンネル経由で管理するよう推奨します。
ScreenOSは、いかなるデフォルトコミュニティ名も提供しません。また、よく知られたコミュニティ名"public"、"private"は使用しないよう推奨します。
それぞれのアクセスリストに最大8個までのホストを持つ、最大3個までのコミュニティを定義できます。
SNMP管理に使用されるデフォルトのUDPポート番号は、変更可能です。デフォルトでは、NetScreen機器がGET,SETなどをLISTENするUDPポート番号は161です。デフォルトでは、NetScreen機器がトラップをSUBMITするUDPポート番号は162です。
全てのSNMP管理アプリケーションが、管理するエレメントと通信するためのポート番号を変更することを許しているわけではありませんが、可能ならば、これらの良く知られたポート番号は使用しないことを推奨します。
SNMP管理用にアクセスリストを定義できます。それぞれの定義されたコミュニティ名には、最大8個までのIPアドレスのアクセスリストが定義できます。
NetScreen社は、認証されていないホストからの攻撃を最小限にする(しかし全てを阻止しない)ためにアクセスリストを定義することを推奨します。
また、NetScreen機器の操作状態および動作は、SNMP経由では変更されないことも認識すべきです。全てのNetScreenのMIB変数はリードオンリーです。