JVNTA#90492923
IP-in-IP プロトコルによる IP トンネリングが悪用され任意の宛先にパケットが送信される問題

IP-in-IP プロトコルをサポートしている機器において、認証されていない攻撃者によって予期せぬ通信が行われてしまう問題が指摘されています。

• IP-in-IP プロトコルをサポートし、送信元や宛先アドレスの制御が適切に行われていない機器

IP-in-IP (IP Encapsulation within IP) は RFC 2003 で定義された IP トンネリングのプロトコルであり、IP パケットに別の IP パケットをカプセル化することができます。IPSec VPN のトンネルモードに似ていますが、IP-in-IP は通信内容を暗号化する機能を持ちません。
IP-in-IP プロトコルに従えば、カプセル化を解除された内側の IP パケットはそのままルーティングテーブルを介して転送されます。このとき、IP-in-IP をサポートする機器において、送信元アドレスと宛先アドレスを明示的に制限せず、どのような IP アドレスも許可するよう設定されている場合、想定していなかった宛先へパケットが送信され、反射型の DDoS 攻撃に用いられたり、アクセス制限を回避するために悪用されたりする可能性があります。
このような、送信元や宛先アドレスがデフォルトの状態で制限されていないネットワーク機器が複数報告されています。[対策方法] や [ベンダ情報] を参照し、機器のアップデートの実施や適切な設定の実施など、必要な対策を行うことを推奨します。

また、IP トンネリングにおいて、カプセル化された IP パケットの送信元や宛先の確認が不十分であることに起因して発生する種々のセキュリティ上の問題点については、RFC 6169 (Security Concerns with IP tunneling) に詳しくまとめられていますので、併せて参照してください。

認証されていない攻撃者により、送信元や宛先アドレスの制限を行っていない脆弱なネットワーク機器を介して任意の宛先に対する通信が行われ、反射型の DDoS 攻撃や情報漏えい、アクセス制限の回避などにつながる可能性があります。

アップデートする
本アドバイザリのベンダ情報や、CERT/CC VU#636397 に掲載されている Vendor Information を参照し、該当製品をアップデートしてください。

IP-in-IP を無効化する
IP プロトコル番号 4 のパケットをフィルタリングし、上流ルータへの送信を防ぐことで、IP-in-IP のパケットを無効化することができます。これは IPv4 ヘッダに含まれる "Protocol" フィールド (IPv6 では "Next Header" に相当) の値が "4" であるもの、という意味であり、IP プロトコルバージョン 4 (IPv4) を指すものではないことに注意してください。

PoC を確認する
本問題の報告者 Yannay Livneh 氏が作成した PoC が CERT/CC により公開されています。本問題の影響を受ける機器を判別するために活用することができます。

侵入検知システムでフィルタリングする
CERT/CC VU#636397 には、全ての IP-in-IP の通信をフィルタリングする、Snort および Suricata 用のルールが掲載されています。このルールを活用する（または書き換えて用いる）ことも有効です。

alert ip any any -> any any (msg: "IP-in-IP Tunneling VU#636397 https://kb.cert.org"; ip_proto:4; sid: 1367636397; rev:1;)