High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco ASA 5500 シリーズ 適応型セキュリティアプライアンスおよび Cisco PIX セキュリティアプライアンスに複数の脆弱性が存在しています。このアドバイザリは以下の脆弱性の要点について説明しています。
-
巧妙に細工されたTCP ACKパケットの脆弱性
-
巧妙に細工されたTLSパケットの脆弱性
-
インスタントメッセンジャー検査の脆弱性
-
脆弱性スキャンによるDoS
-
コントロールプレーンアクセスコントロールリストの脆弱性
最初の4つの脆弱性はサービス拒否(DoS)状態につながる可能性があり、5つ目の脆弱性は攻撃者がコントロールプレーンアクセスコントロールリスト(ACL)をバイパスする可能性があります。
注:これらの脆弱性は互いに独立しています。ある機器が1つの脆弱性の影響を受け、他の脆弱性の影響は受けない場合もあります。
シスコはこれらの脆弱性に対処するソフトウェアアップデートをリリースしています。この中のいくつかの脆弱性には影響を軽減する回避策が存在します。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080604-asa で公開されています。
該当製品
脆弱性のある製品
以下に本アドバザリの各脆弱性の詳細について示します。
巧妙に細工されたTCP ACKパケットの脆弱性
Cisco ASAおよびCisco PIXデバイスは、巧妙に細工されたTCP確認応答(ACK)パケットの脆弱性の影響を受けます。7.1.xリリースの7.1(2)70、7.2.xリリースの7.2(4)、および8.0.xリリースの8.0(3)10より前のソフトウェアバージョンが影響を受けます。ソフトウェアバージョン7.0.xまたは8.1.xを実行しているCisco ASAまたはCisco PIXセキュリティアプライアンスには脆弱性はありません。
WebVPN、SSL VPN、またはASDMが有効なバージョン7.1.xおよび7.2.xが稼働しているCisco ASAおよびCisco PIXデバイスは、この脆弱性の影響を受けます。Telnet、セキュアシェル(SSH)、WebVPN、SSL VPN、またはASDM対応に設定された8.0リリースのソフトウェアバージョンを実行しているデバイスは、この脆弱性の影響を受けます。
注:IPv4およびIPv6を実行しているデバイスは、この脆弱性の影響を受けます。
巧妙に細工されたTLSパケットの脆弱性
Cisco ASAまたはCisco PIXデバイス上のHTTPSサーバが有効になっており、8.0.xリリースの8.0(3)9より前、または8.1.xリリースのバージョン8.1(1)1より前のソフトウェアバージョンが稼働している場合、Cisco ASAおよびCisco PIXデバイスは巧妙に細工されたTLS要求の脆弱性の影響を受けます。ソフトウェアバージョン7.xを実行しているCisco ASAおよびCisco PIXアプライアンスには脆弱性はありません。
インスタントメッセンジャー検査の脆弱性
Cisco ASAおよびCisco PIXデバイスは、インスタントメッセージングインスペクションが有効になっていて、7.2.xリリースの7.2(4)、8.0.xリリースの8.0(3)10、または8.1.xリリースの8.1(1)2より前のソフトウェアバージョンがデバイスで実行されている場合、巧妙に細工されたパケットの脆弱性の影響を受けます。7.0.xおよび7.1.xリリースのソフトウェアバージョンを実行しているデバイスには、脆弱性はありません。また、インスタントメッセージング検査が有効になっていないデバイスにも脆弱性は存在しません。
注:インスタントメッセージングの検査は、デフォルトでは無効になっています。
脆弱性スキャンによるDoS
Cisco ASAおよびCisco PIXデバイスは、7.2.xリリースで7.2(3)2より前、または8.0.xリリースで8.0(2)17より前のソフトウェアバージョンを実行している場合、脆弱性(ポート)スキャンサービス拒否の脆弱性の影響を受けます。ソフトウェアバージョン7.0.x、7.1.x、または8.1.xを実行しているCisco ASAおよびCisco PIXデバイスには脆弱性はありません。
コントロールプレーンアクセスコントロールリストの脆弱性
デバイスがコントロールプレーンACLを使用するように設定され、8.0.xリリースで8.0(3)9より前のソフトウェアバージョンを実行している場合、Cisco ASAおよびCisco PIXデバイスは脆弱性の影響を受けます。ソフトウェアバージョン7.xまたは8.1.xを実行しているデバイスには脆弱性はありません。
注:コントロールプレーンACLは、ソフトウェアバージョン8.0(2)で最初に導入されました。コントロールプレーンACLは、デフォルトでは有効になっていません。
show versionコマンドラインインターフェイス(CLI)コマンドを使用すると、脆弱性のあるバージョンのCisco PIXまたはCisco ASAソフトウェアが稼働しているかどうかを確認できます。次の例は、ソフトウェア リリース 8.0(2) を実行している Cisco ASA セキュリティ アプライアンスを示しています。
ASA# show version Cisco Adaptive Security Appliance Software Version 8.0(2) Device Manager Version 6.0(1) [...]
Cisco Adaptive Security Device Manager(ASDM)を使用してデバイスを管理している場合は、ログイン ウィンドウの表、または ASDM ウィンドウの左上にソフトウェアのバージョンが表示されます。
脆弱性を含んでいないことが確認された製品
Cisco Firewall Services Module(FWSM)は、これらの脆弱性の影響を受けません。バージョン6.xを実行しているCisco PIXセキュリティアプライアンスには脆弱性はありません。他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
このセキュリティ アドバイザリでは、相互に独立した複数の脆弱性が説明されています。これらの脆弱性は相互に関連していません。
1.巧妙に細工されたTCP ACKパケットの脆弱性
巧妙に細工されたTCP ACKパケットは、Cisco ASAまたはCisco PIXセキュリティアプライアンスでサービス拒否状態を引き起こす可能性があります。この脆弱性の影響を引き起こす可能性があるのは、デバイス宛てのパケット(デバイスを通過しないパケット)のみです。
WebVPN、SSL VPN、またはASDMが有効なバージョン7.1.xおよび7.2.xが稼働しているCisco ASAおよびCisco PIXデバイスは、この脆弱性の影響を受けます。Telnet、セキュアシェル(SSH)、WebVPN、SSL VPN、またはASDM対応に設定された8.0リリースのソフトウェアバージョンを実行しているデバイスは、この脆弱性の影響を受けます。
telnetコマンドを使用して、セキュリティアプライアンスがTelnet接続を受け入れるIPアドレスを指定します。
ASA(config)# telnet 192.168.10.0 255.255.255.0 inside
前述の例では、Cisco ASAは192.168.10.0/24ネットワークからのInsideインターフェイスでTelnet接続を受け入れるように設定されています。
注:IPSecトンネル内でTelnetを使用しない限り、最も低いセキュリティインターフェイスへのTelnetは使用できません。
ASDM管理セッションは、http server enableおよびhttpコマンドを使用して有効にできます。
sshコマンドを使用して、セキュリティアプライアンスがSSH接続を受け入れる送信元のIPアドレスを指定します。例:
ASA(config)# ssh 192.168.10.0 255.255.255.0 inside
前述の例では、Cisco ASAは192.168.10.0/24ネットワークからのInsideインターフェイスでSSH接続を受け入れるように設定されています。
クライアントレスWebVPN、SSL VPNクライアント、およびAnyConnect接続は、webvpnコマンドを介して有効になります。たとえば、次の設定は、WebVPNが設定され、有効になっているCisco ASAを示しています。この場合、次のようにデフォルトのポートである TCP ポート 443 で、ASA によって WebVPN 接続が受信されます。
http server enable ! webvpn enable outside
この設定では、Outside インターフェイスからの攻撃に対してデバイスが脆弱であることに注意してください。
この脆弱性は、Cisco Bug ID CSCsm84110(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2008-2055が割り当てられています。
2.巧妙に細工されたTLSパケットの脆弱性
Transport Layer Security(TLS)は、Secure Socket Layer(SSL)に代わるプロトコルです。これは、暗号化を介して、2 つのエンド ポイント間にセキュアな通信を提供するプロトコルです。
Cisco PIXおよびCisco ASAセキュリティアプライアンスは、TLSを使用して、さまざまなシナリオにおける通信の機密性を保護します。これらすべてのシナリオでは、PIX および ASA が TLS プロトコルの処理において脆弱性に影響され、特別に偽造された TLS パケットが処理される際にデバイスがリロードする原因となる場合があります。
注:この脆弱性の影響を引き起こす可能性があるのは、デバイス宛てのパケットのみ(デバイスを通過しない)です。
次のリストは、TLSを使用するCisco ASAおよびCisco PIXデバイス内のアプリケーションの一部を示しています。
-
クライアントレス WebVPN、SSL VPN クライアント、および AnyConnect 接続
-
ASDM(HTTPS)管理セッション
-
ネットワーク アクセスのカットスルー プロキシ
-
暗号化された音声検査の TLS プロキシ
クライアントレス WebVPN、SSL VPN クライアント、および AnyConnect 接続
クライアントレスWebVPN、SSL VPNクライアント、およびAnyConnect接続は、webvpnコマンドを介して有効になります。たとえば、次の設定は、WebVPNが設定され、有効になっているCisco ASAを示しています。この場合、次のようにデフォルトのポートである TCP ポート 443 で、ASA によって WebVPN 接続が受信されます。
http server enable ! webvpn enable outside
この設定では、Outside インターフェイスからの攻撃に対してデバイスが脆弱であることに注意してください。
ASDM(HTTPS)管理セッション
ASDM管理セッションは、http server enableおよびhttpコマンドを使用して有効にできます。たとえば、次の設定はリモートの HTTPS 管理に設定された ASA を示しています。
http server enable http 192.168.0.0 255.255.255.0 inside
この設定では、Inside インターフェイスおよび 192.168.0.0/24 IP サブネットワークからの攻撃に対してデバイスが脆弱であることに注意してください。
ネットワーク アクセスのカットスルー プロキシ
カットスルー プロキシ機能は、ユーザがネットワークにアクセスする前に、ユーザを認証するために使用されます。ネットワークアクセスを許可する前にユーザの認証が必要な設定の例を次に示します。
access-list auth-proxy extended permit tcp any any eq www access-list auth-proxy extended permit tcp any any eq telnet access-list auth-proxy extended permit tcp any any eq https ! aaa authentication match auth-proxy inside LOCAL aaa authentication secure-http-client aaa authentication listener https inside port https
この脆弱性に該当する設定には、コマンド aaa authentication secure-http-client または aaa authentication listener https inside port <port number> が含まれます。上の例の設定では、内部インターフェイスからの攻撃に対してデバイスが脆弱であることに注意してください。
暗号化された音声検査の TLS プロキシ
暗号化された音声インスペクション機能のTLSプロキシを使用すると、セキュリティアプライアンスは、SCCPおよびSession Initiation Protocol(SIP)プロトコルの既存のVoIPインスペクション機能をすべて保持したまま、復号化、検査および修正(必要に応じて、NATフィックスアップの実行など)、および音声シグナリングトラフィックの再暗号化を実行できます。音声シグナリングが復号化されると、プレーン テキストのシグナリング メッセージが既存のインスペクション エンジンに渡されます。セキュリティアプライアンスは、IP PhoneとCisco Unified CallManagerおよびCisco Unified Communications Managerの間のTLSプロキシとして機能することで、これを実現します。これは、TLSセッションがセキュリティアプライアンスで終了していることを意味します。これはTCPポート2443および5061で行われます。
暗号化された音声の検査をサポートするようにCisco PIXまたはCisco ASAセキュリティアプライアンスが設定されているかどうかを確認するには、デバイスにログインして、CLIコマンドshow service-policy | include tlsコマンドを使用します。出力に、tls-proxy: active というテキストと一部の統計情報が含まれている場合、デバイスには脆弱性のある設定が含まれています。次の例は、脆弱性のある Cisco ASA セキュリティ アプライアンスを示しています。
ASA# show service-policy | include tls
Inspect: sip tls-proxy myproxy, packet 0, drop 0, reset-drop 0
tls-proxy: active sess 0, most sess 0, byte 0
Inspect: skinny tls-proxy myproxy, packet 0, drop 0, reset-drop 0
tls-proxy: active sess 0, most sess 0, byte 0
ASA#
この脆弱性は、Cisco Bug ID CSCsm26841(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2008-2056が割り当てられています。
3.インスタントメッセンジャー検査の脆弱性
Cisco ASAおよびCisco PIX Instant Messenger(IM)インスペクションエンジンは、ネットワーク内のIMアプリケーションの使用状況に対して詳細な制御を適用するために使用されます。Cisco ASAおよびCisco PIXは、インスタントメッセージングインスペクションが有効な場合、サービス拒否(DoS)の脆弱性の影響を受けます。
IMインスペクション機能とその設定の詳細については、次を参照してください。
http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/inspect.html#wp1479354
この脆弱性は、Cisco Bug ID CSCso22981(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2008-2057が割り当てられています。
4.脆弱性スキャンによるサービス拒否
Cisco ASAおよびCisco PIXセキュリティアプライアンスは、TCPポート443に対して脆弱性スキャンを実行すると、サービス拒否(DoS)の脆弱性の影響を受けます。特定の脆弱性(ポート)スキャナが原因で、システムがリロードされます。
注:この脆弱性は、TCPポート443のデバイス宛てのトラフィックの影響を受けます。Cisco ASAおよびCisco PIXセキュリティアプライアンスは、クライアントレスWebVPN、SSL VPNクライアント、AnyConnectクライアント接続、HTTPS管理セッション、ネットワークアクセス用のカットスループロキシ、および暗号化音声検査用のTLSプロキシにTCPポート443を使用します。これらのサービスの詳細については、巧妙に細工されたTLSパケットの脆弱性の詳細を参照してください。
この脆弱性は、Cisco Bug ID CSCsj60659(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2008-2058が割り当てられています。
5.コントロールプレーンアクセスコントロールリストの脆弱性
コントロールプレーンACLは、セキュリティアプライアンス宛てのトラフィックを保護するように設計されています。Cisco ASAおよびCisco PIXセキュリティアプライアンスには脆弱性が存在し、デバイスで最初に設定された後にコントロールプレーンACLが機能しない可能性があります。
次の例では、show running-config | include control-planeコマンドを使用して、デバイスでコントロールプレーンACLが設定されているかどうかを確認します。
ASA# show running-config | include control-plane access-group 101 in interface inside control-plane ASA#
この脆弱性は、Cisco Bug ID CSCsm67466(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2008-2059が割り当てられています。
回避策
このセキュリティ アドバイザリでは、相互に独立した複数の脆弱性が説明されています。これらの脆弱性およびそれぞれ対応策は互いから独立しています。
巧妙に細工されたTCP ACKパケットの脆弱性
回避策およびベストプラクティスとして、ネットワーク内の信頼できるホストからのみTelnet、SSH、およびASDM接続を許可します。
さらに、入力アクセスポイントからネットワークに入るトラフィックを保護するためのトランジットACL(tACL)ポリシーの一部として、TCPポート22、23、80、および443パケットを拒否するフィルタをネットワーク全体に展開できます。フィルタが適用されるデバイスとその背後にある他のデバイスを保護するには、このポリシーを設定する必要があります。TCPポート22、23、80、および443を使用するパケットのフィルタは、信頼できるクライアントからのトラフィックだけが許可されるように、脆弱なネットワークデバイスの前にも展開する必要があります。
tACLについての詳細は、『トランジットアクセスコントロールリスト:エッジでのフィルタリング』を参照してください。
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_white_paper09186a00801afc76.shtml
巧妙に細工されたTLSパケットの脆弱性
この脆弱性に対する回避策はありません。
インスタントメッセンジャー検査の脆弱性
この脆弱性の唯一の回避策は、セキュリティアプライアンスでIMインスペクションを無効にすることです。
ポートスキャンサービス拒否の脆弱性
この脆弱性に対する回避策はありません。
コントロールプレーンアクセスコントロールリストの脆弱性
この脆弱性に対する回避策はありません。
ネットワーク内のCiscoデバイスに展開できる追加の緩和テクニックについては、このアドバイザリに関連するCisco適用対応策速報を参照してください。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
次のリストには、各脆弱性に対する第 1 修正済みソフトウェア リリースが含まれています。
|
脆弱性 |
影響を受けるリリース |
First Fixed Release(修正された最初のリリース) |
|---|---|---|
|
巧妙に細工されたTCP ACKパケットの脆弱性 |
7.0 |
脆弱性なし |
|
7.1 |
7.1(2)70 |
|
|
7.2 |
7.2(4) |
|
|
8.0 |
8.0(3)10 |
|
|
8.1 |
脆弱性なし |
|
|
巧妙に細工されたTLSパケットの脆弱性 |
7.0 |
脆弱性なし |
|
7.1 |
脆弱性なし |
|
|
7.2 |
脆弱性なし |
|
|
8.0 |
8.0(3)9 |
|
|
8.1 |
8.1(1)1 |
|
|
インスタントメッセンジャー検査の脆弱性 |
7.0 |
脆弱性なし |
|
7.1 |
脆弱性なし |
|
|
7.2 |
7.2(4) |
|
|
8.0 |
8.0(3)10 |
|
|
8.1 |
8.1(1)2 |
|
|
脆弱性スキャンによるDoS |
7.0 |
脆弱性なし |
|
7.1 |
脆弱性なし |
|
|
7.2 |
7.2(3)2 |
|
|
8.0 |
8.0(2)17 |
|
|
8.1 |
脆弱性なし |
|
|
コントロールプレーンアクセスコントロールリストの脆弱性 |
7.0 |
脆弱性なし |
|
7.1 |
脆弱性なし |
|
|
7.2 |
脆弱性なし |
|
|
8.0 |
8.0(3)9 |
|
|
8.1 |
脆弱性なし |
以下よりPIXに関する修正版ソフトウエアのダウンロードが可能です。
http://www.cisco.com/pcgi-bin/tablebuild.pl/pix?psrtdcat20e2
以下よりASAに関する修正版ソフトウエアのダウンロードが可能です。
http://www.cisco.com/pcgi-bin/tablebuild.pl/asa?psrtdcat20e2
推奨事項
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。
この脆弱性は Cisco 社内の試験/トラブルシューティングにおいて発見されました。
URL
改訂履歴
|
リビジョン 1.0 |
2008年6月4日 |
初版リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。