日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Terminal Access Controller Access Control System Plus(TACACS+)の設定が不完全な場合、Cisco Anomaly Detection and Mitigation(IDS)アプライアンスおよびサービスモジュールで使用されるソフトウェアのバージョン5.0(1)および5.0(3)の脆弱性により、不正ユーザがデバイスに不正アクセスしたり、権限を昇格したりする可能性があります。
TACACS+認証はデフォルトで無効になっており、TACACS+認証用に正しく設定されたデバイスはこの脆弱性の影響を受けません。
シスコでは、該当するお客様用に、この脆弱性に対応する無償ソフトウェアを提供しております。この脆弱性に対しては、影響を緩和するための回避策があります。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20060215-guard で公開されています。
該当製品
このセクションには、該当製品に関する詳細が掲載されています。
脆弱性のある製品
この脆弱性は、Cisco GuardおよびCisco Traffic Anomaly Detectorアプライアンスのバージョン5.0(1)および5.0(3)、Cisco Catalyst 6500スイッチおよびCisco 7600ルータのAnomaly GuardモジュールおよびTraffic Anomaly Detectorモジュールで、デバイスの設定が不完全でTACACS+認証を使用する場合に影響を受けます。5.0(2)はcisco.comにリリースされたことがないため、該当リリースとしてリストされていないことに注意してください。
該当するソフトウェアバージョンを実行し、TACACS+認証が設定されているデバイスは、Authentication, Authorization, and Accounting(AAA;認証、認可、アカウンティング)コマンドでTACACS+認証が指定されているが、TACACS+サーバを指定するtacacs-server hostコマンドが設定されていない場合に脆弱性が存在します。つまり、設定に次のコマンドのいずれかまたは両方が含まれている場合です。
aaa authentication login tacacs+ local aaa authentication enable tacacs+ local
ただし、次のコマンドは使用できません。
tacacs-server host <IP address of TACACS+ server>
デバイスに脆弱性が存在します。
注:上記のaaa authenticationコマンドの「tacacs+」認証方式の後に指定される「local」認証方式は、脆弱性とは無関係です。この認証方式が示されているのは、TACACS+サーバが使用できない場合にフォールバックとして通常使用されるためです。「local」認証方式(指定されている場合)の前に「tacacs+」認証方式を使用し、設定にtacacs-server hostコマンドがない場合、「local」認証方式の有無にかかわらず、デバイスに脆弱性が存在する可能性があります。
脆弱性を含んでいないことが確認された製品
Cisco GuardおよびCisco Traffic Anomaly Detectorは、次のソフトウェアバージョンを実行している場合は、この脆弱性の影響を受けません。
-
Cisco GuardおよびCisco Traffic Anomaly Detectorソフトウェアの5.0より前のバージョン。これには、3.xおよび4.xリリースが含まれます。
-
Cisco GuardおよびCisco Traffic Anomaly Detectorソフトウェアバージョン5.1以降。
Cisco GuardまたはCisco Traffic Anomaly Detectorがバージョン5.0(1)または5.0(3)を実行している場合、デバイスがTACACS+サーバに対してユーザを認証するように設定されていない場合、またはそのTACACS+の設定が完了している場合(つまり、設定にtacacs-server hostコマンドが含まれている場合)は影響を受けません。
注:TACACS+認証はデフォルトで無効になっています。明示的なAAA設定が行われない場合、Cisco GuardとCisco Traffic Anomaly Detectorはローカルデータベース(「ローカル」認証方式)に対してユーザを認証します。
他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。
詳細
Cisco GuardとCisco Traffic Anomaly Detectorアプライアンス、およびCisco Catalyst 6500スイッチ/Cisco 7600ルータ用のAnomaly Guard ModuleとTraffic Anomaly Detector Moduleは、潜在的なDDoS攻撃の存在を検出し、正当なトラフィックフローに影響を与えることなく、監視対象ネットワーク宛ての攻撃トラフィックを迂回する分散型DDoS攻撃緩和デバイスです。
Cisco GuardおよびCisco Anomaly Traffic Detectorアプライアンスは、仮想端末(アプライアンスに直接接続された標準のキーボードとモニタ)、ローカルシリアルコンソール、リモートセキュアシェル(SSH)接続、および/またはリモートセキュアWebセッション(HTTPS)を介して管理できます。Cisco Catalyst 6500スイッチおよびCisco 7600ルータ用のAnomaly Guard ModuleおよびTraffic Anomaly Detector Moduleは、スイッチから(sessionコマンドを使用して)モジュールにログインするか、SSHまたは安全なWebセッションを介してリモートでログインすることにより管理できます。
TACACS+は、サーバ、ワークステーション、ルータ、スイッチ、アクセスサーバ、およびその他のネットワークデバイスにアクセスしようとするユーザを一元的に検証する方法を提供する認証プロトコルです。
Cisco GuardおよびCisco Anomaly Traffic Detectorデバイスにアクセスするユーザは、デバイスの設定に保存されているローカルユーザデータベース、または外部のTACACS+サーバに対して認証を受けることができます。外部TACACS+サーバに対してユーザを認証するための完全な設定には、次のコマンドが含まれています。
aaa authentication login tacacs+ local aaa authentication enable tacacs+ local tacacs-server host <IP address of TACACS+ server>
aaa authentication login tacacs+コマンドは、SSHまたはWebインターフェイス経由でデバイスにログインするユーザのTACACS+認証を設定します。aaa authentication enable tacacs+コマンドは、enableコマンドに対してTACACS+認証を設定します。tacacs-server hostコマンドで、TACACS+サーバを指定します。
Cisco GuardおよびCisco Anomaly Traffic Detectorデバイスが外部TACACS+サーバを使用してデバイスにログインするユーザを認証するように設定されているが、実際のTACACS+サーバがtacacs-server hostコマンドで指定されていない場合、認証はバイパスされます。認証をバイパスするユーザに付与される権限は、ログインに使用するアカウントのタイプと、アカウントがデバイスに存在するかどうかによって次のように異なります。
-
存在しないアカウントが使用されています:ユーザはshowコマンドのみを実行できます。
-
使用されている既存のローカルアカウント:ユーザは、通常そのアカウントに付与されているものと同じ特権を取得します。
-
既存のLinuxアカウントが使用されています:ユーザは基盤となるLinuxシェルにアクセスできます。
また、TACACS+サーバに対してイネーブル認証が(aaa authentication enable tacacs+コマンドを使用して)実行されていて、実際のTACACS+サーバが(tacacs-server hostコマンドを使用して)指定されていない場合は、enableコマンドの認証をバイパスできます。
デバイスは、tacacs-server hostコマンドが指定されていない場合のみ脆弱であることに注意してください。このコマンドが存在する場合、サーバのIPアドレスが正しくなくても、またTACACS+サーバが到達不能になっても、デバイスは脆弱ではありません。
この脆弱性は、Cisco Bug ID CSCsd21455(登録ユーザ専用)に記載されています。
回避策
この脆弱性は、TACACS+認証の設定が完了したら、コマンドtacacs-server host <IP address of TACACS+ server>を使用してTACACS+サーバを指定することで完全に軽減できます。
セキュリティのベストプラクティスとして、SSHおよびWebベースの管理サービスへの接続を、管理者が設定した特定のIPネットワークに制限するアクセス制御機能を使用することが推奨されています。これは、permit wbmコマンドとpermit sshコマンドを使用して実行できます。これらのコマンドについては、コンフィギュレーションガイドの次のセクションで説明します。
これらのアクセス制御メカニズムを配備すると、信頼できるネットワークからのユーザだけがログインできるという意味で、脆弱性を緩和するのに役立ちます。
修正済みソフトウェア
この脆弱性は、Cisco GuardおよびCisco Traffic Anomaly Detectorソフトウェアの5.1シリーズで解決されています。5.1シリーズの最初のリリースは5.1(4)です。
Cisco Guardアプライアンス用のソフトウェアは、http://www.cisco.com/pcgi-bin/tablebuild.pl/cisco-ga-cryptoからダウンロードできます。
Cisco Traffic Anomaly Detectorアプライアンスのソフトウェアは、http://www.cisco.com/pcgi-bin/tablebuild.pl/cisco-ad-cryptoからダウンロードできます。
Cisco Catalyst 6500スイッチ/Cisco 7600ルータ用Cisco Anomaly Guardモジュールのソフトウェアは、http://www.cisco.com/pcgi-bin/tablebuild.pl/cisco-agm-cryptoからダウンロードできます。
Cisco Catalyst 6500スイッチ/Cisco 7600ルータ用のCisco Anomaly Traffic Detectorモジュールのソフトウェアは、http://www.cisco.com/pcgi-bin/tablebuild.pl/cisco-adm-cryptoからダウンロードできます。
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
推奨事項
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。
シスコは、この問題に注目していただいたVerizon Business社のGerrit Wenig氏に感謝いたします。
URL
改訂履歴
|
リビジョン 1.0 |
2006年2月15日 |
初版リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。