- プロダクト・サービス
- ドキュメント
- ダウンロード
- 販売・レンタル
- お問い合わせ
SEILシリーズのNTPサーバ機能が有効な状態で、不特定からのNTPリクエストを受け付ける設定で利用している場合、悪意あるNTPリクエストを受け付けると、第三者のネットワークやホストに対するDDoS攻撃の踏み台となる可能性があります。
2014/01/14
2014/01/21
2014/01/24
以下のバージョンにおいて影響を受けます。
| 機種 | バージョン |
|---|---|
| SEIL/x86 Fuji | 1.70 - 2.90 |
| SEIL/X1 | 1.00 - 4.33 |
| SEIL/X2 | 1.00 - 4.33 |
| SEIL/B1 | 1.00 - 4.33 |
| SEIL/Turbo | 1.00 - 2.16 |
| SEIL/neu 2FE Plus | 1.00 - 2.16 |
SEILシリーズのNTPサーバ機能が有効な状態で、不特定からのNTPリクエストを受け付ける設定で利用している場合、悪意あるNTPリクエストを受け付けると、第三者のネットワークやホストに対するDDoS攻撃の踏み台となる可能性があります。
また、DDoS攻撃の踏み台にされた場合、SEIL自身のリソースが大量に消費され、使用している機能の停止やパフォーマンス低下が発生する可能性があります。
SEILシリーズではNTPサーバが有効であると、NTPコントロールメッセージの要求を全て受け付けます。特にNTPコントロールメッセージのmode 7に含まれるmonlist機能は、リクエストに対して非常に大きなレスポンスを返す場合があります。
このため、NTPサーバ機能を使用する場合には、IPパケットフィルタを適切に設定してください。
mode 6およびmode 7のNTPコントロールメッセージを受け付けないよう変更したファームウェアをリリース済みです。下記バージョン以降のファームウェアへの早急な更新を推奨します。
下記のバージョン以降への早急な変更を推奨します。
| 機種 | バージョン |
|---|---|
| SEIL/x86 Fuji | 2.91 |
| SEIL/X1 | 4.34 |
| SEIL/X2 | 4.34 |
| SEIL/B1 | 4.34 |
| SEIL/Turbo | 2.17 |
| SEIL/neu 2FE Plus | 2.17 |
NTPサーバ機能を利用する必要が無い場合、機能を無効にしてください。
ntp disableNTPサーバ機能による時刻同期を利用する場合、IPパケットフィルタを適切に設定し、DDoS攻撃を引き起こすNTPリクエストパケットの受信を拒否することで影響を軽減できます。
時刻同期を行うためのフィルタを設定する。
filter add ntp_out_pass interface <インタフェース名> direction out action pass protocol udp dstport 123 state enable
filter6 add ntp6_out_pass interface <インタフェース名> direction out action pass protocol udp dstport 123 state enable信頼できないネットワークからのNTPクエリをfilterを使って遮断する
filter add ntp_deny interface <インタフェース名> direction in action block protocol udp dst self dstport 123
filter6 add ntp6_deny interface <インタフェース名> direction in action block protocol udp dst self dstport 123JP Vendor Status Notes JVNVU#96176042 : NTPがDDoS攻撃の踏み台として使用される問題
US-CERT Vulnerability Note VU#348126