Nmapは、CCMがSWEET32攻撃を受けやすい性質を示す

ダウンロード オプション

  • PDF     (294.2 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (252.9 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (144.2 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2017 年 9 月 25 日
Document ID:212151

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    概要

    このドキュメントでは、NmapがCisco Call Manager(CCM)がSWEET32攻撃の影響を受けやすいことを示す問題について説明します。

        

    問題

    Nmap 4.70+を実行すると、トリプルData Encryption Standard(3DES)およびIDEAに関する警告メッセージが表示され、これがSWEET32に対して脆弱であることが示されます。

    nmap -sV --script ssl-enum-ciphers -p 443 <ip_of_ccm>

    Sweet32と呼ばれる攻撃の影響を受けやすい64ビット暗号化が週64回発見されました。新しいバージョンのNmapには、影響を受けやすい暗号が有効になっているかどうかを確認するチェックが含まれます。このため、CCMでNmapスキャンを実行すると、次の警告が表示されます。

    64-bit block cipher 3DES vulnerable to SWEET32 attack

    64-bit block cipher IDEA vulnerable to SWEET32 attack

    解決方法

    この問題は、CloudCenterに直接関連するものではなく、cloudcenterが使用するTomcatサーバに関連するものです。Nmapスキャンは、仮想マシン(VM)が攻撃に対して脆弱であることを示すものではなく、単に脆弱な暗号を使用していることを示すものであることに注意してください。この攻撃を成功させるために、Nmapがテストしていない他の変数も設定しておく必要があります。

    コアチケットこれに関してCORE-15086が作成されました。ソリューションはまだ処理中であり、OpenSSL 1.1.0+のバージョンが更新され、欠陥にパッチが適用されます。

    エンジニアリングでは、このエラーメッセージは無視しても問題ありませんが、必要に応じて回避策があります。

    CCMへのセキュアシェル(SSH)。

    /usr/local/tomcat/conf/server.xml を開く.

    <Connector port="10443"で始まるセクションが見つかるまで下にスクロールします

    SSLCipherSuite=で始まる行には、許可されている暗号と許可されていない暗号がリストされます。

    それぞれの行の終わりに次を追加します:!3DES:!IDEA  

    Tomcatを起動すると、3DESとIDEAは使用されなくなるため、Nmapは使用されますか。スキャンは警告を報告しません。

    注:この回避策は互換性がテストされておらず、一部のユーザがCCMユーザインターフェイス(UI)に接続できない可能性があります。 Windows XPおよびIE v8を実行するユーザは、接続できなくなる可能性があります。ただし、まだテストされていません。

    TAC Authored

    シスコ エンジニア提供

    • Jesse Lafuenti
      Cisco TAC Engineer

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています