日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco VPN 3000シリーズコンセントレータは、データの暗号化と認証用の専用リモートアクセスVirtual Private Network(VPN;バーチャルプライベートネットワーク)プラットフォームファミリです。
悪意のあるユーザがSSL(Secure Sockets Layer)を介して細工された攻撃をコンセントレータに送信し、デバイスのリロードやユーザ接続の切断を引き起こす可能性があります。
繰り返し悪用されると、持続的なDoS(サービス拒否)が発生します。
この脆弱性を軽減する回避策があります。
シスコでは、該当するすべてのユーザに対してこの脆弱性に対処する無償ソフトウェアを提供しています。
この脆弱性は、Bug ID CSCeg11424(登録ユーザ専用)としてCisco Bug Toolkitに記載されています
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20050330-vpn3kで確認できます。
該当製品
このセクションには、該当製品に関する詳細が掲載されています。
脆弱性のある製品
ソフトウェア4.1.7.A以前を実行しているCisco VPN 3000シリーズコンセントレータは、この脆弱性の影響を受けます。
このシリーズには、モデル3005、3015、3020、3030、3060、3080およびCisco VPN 3002 Hardware Clientが含まれます。
脆弱性を含んでいないことが確認された製品
次の製品には脆弱性が存在しないことが確認されています。
- Cisco IPSec VPNサービスモジュール(VPNSM)
- Cisco VPN 5000コンセントレータ
- Cisco PIX ファイアウォール
- シスコのInternetwork Operating System(IOS)が稼働するすべてのシスコデバイス
- シスコのCatalystオペレーティングシステム(CatOS)が稼働するすべてのシスコデバイス
他のシスコ製品では、現在この脆弱性の存在は確認されていません。
詳細
SSL(Secure Sockets Layer)は、TCPセッション経由で転送されるデータの暗号化に使用されるプロトコルです。シスコ製品のSSLは、デフォルトのTCPポートが443であるHyperText Transfer Protocol Secure(HTTPS)Webサービスで主に使用されます。この脆弱性により、悪意のあるユーザが巧妙に細工されたHTTPSパケットを送信し、結果として該当デバイスのリロードやユーザ接続のドロップが発生する可能性があります。
この脆弱性の影響を受ける製品は、HTTPSサービスが有効になっており、このサービスへのアクセスが信頼できるホストやネットワーク管理ワークステーションに限定されていない場合にのみ脆弱です。デフォルトでは、HTTPSはVPN 3000デバイスでは有効になっていないため、手動で有効にする必要があります。影響を受けるデバイスは通過トラフィックに対して脆弱ではなく、そのデバイス宛てのトラフィックのみがこの脆弱性を不正利用する可能性があります。
HTTPSサービスが有効になっているかどうかを確認するには、次の手順を実行します。
- デバイスの設定をチェックして、HTTPSサービスのステータスを確認します。
- https://ip_address_of_device/のようなURLを使用して、SSLをサポートする標準のWebブラウザを使用してデバイスに接続してみてください。
この脆弱性を不正利用するために認証は必要ありません。
この脆弱性は、Bug ID CSCeg11424(登録ユーザ専用)としてCisco Bug Toolkitに記載されています
回避策
HTTPSの無効化
コンセントレータがIPSEC、PPTP、またはL2TP over IPSec VPN接続にのみ使用されている場合、HTTPSを無効にすると、この脆弱性を効果的に緩和できます。コンセントレータがWebVPN接続用に設定されている場合、HTTPSを無効にするとWebVPNも動作しなくなります。
HTTPSを無効にする方法の詳細については、www.cisco.com/en/US/docs/security/vpn3000/vpn3000_47/configuration/guide/tunnel.html#wp1309633を参照してください。
トランジット ACL
VPN3000へのSSLは、スクリーニングルータ、スイッチ、およびファイアウォール上で、信頼できるネットワークへのすべてのアクセスを制御するトランジットACLの一部としてブロックされる可能性があります。トランジットACLは、ネットワークセキュリティのベストプラクティスと考えられており、ここでの特定の脆弱性の回避策としてだけでなく、優れたネットワークセキュリティへの長期的な付加機能として考慮する必要があります。ホワイトペーパー『トランジットアクセスコントロールリスト:エッジでのフィルタリング』では、トランジットACLのガイドラインと推奨される導入方法について説明しています。
http://www.cisco.com/warp/public/707/tacl.html にアクセスしてください。
回避策の効果は、製品の組み合わせ、ネットワークトポロジ、トラフィックの動作、組織のミッションなど、お客様の状況によって異なります。該当する製品とリリースは多岐に渡るので、サービス プロバイダーやサポート機関に連絡し、ネットワーク内で使用するのに最も適した回避策を確認してから、実際に配備することを推奨いたします。
修正済みソフトウェア
Cisco VPN 3000シリーズユーザは、バージョン4.1.7.B以降のソフトウェアにアップグレードすることで、この脆弱性を解決できます。
ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/warp/public/707/advisory.htmlおよび後続のアドバイザリも参照して、問題の解決状況と完全なアップグレードソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報が不明な場合は、Cisco Technical Assistance Center(TAC)にお問い合わせください。
推奨事項
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。
この脆弱性は、シスコ内部でのセキュリティレビューによって発見されました。
URL
改訂履歴
|
リビジョン 1.1 |
2007年8月14日 |
固定リンク. |
|
リビジョン 1.0 |
2005年4月6日 |
初版リリース. |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。