日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
一部のCisco Secure Access Control System(ACS)バージョンには、認証されていないリモートの攻撃者がアカウントの以前のパスワードを入力せずに、任意のユーザアカウントのパスワードを任意の値に変更できる脆弱性が存在します。不正利用に成功するには、ユーザアカウントが内部IDストアで定義されている必要があります。
この脆弱性を悪用しても、ACSデータベースに対するその他の変更は実行できません。つまり、攻撃者はアクセスポリシー、デバイスプロパティ、またはユーザパスワード以外のアカウント属性を変更できません。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。この脆弱性に対する回避策はありません。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20110330-acs で公開されています。
該当製品
脆弱性のある製品
次のバージョンのCisco Secure ACSがこの脆弱性の影響を受けます。
- パッチ3、4、5のいずれか(またはこれらのパッチの任意の組み合わせ)がインストールされ、パッチ6以降がインストールされていないCisco Secure ACSバージョン5.1
- パッチがインストールされていないCisco Secure ACSバージョン5.2
- パッチ1または2(あるいは両方)がインストールされ、パッチ3以降がインストールされていないCisco Secure ACSバージョン5.2
上記のリストは、ハードウェアアプライアンスとソフトウェアのみのバージョンの両方に適用されます。
インストールされているCisco Secure ACSのバージョンは、次の方法で確認できます。
-
Cisco Secure ACSのコマンドラインインターフェイス(CLI)から、次の例に示すようにshow versionコマンドを発行します。
acs51a/admin# show version Cisco Application Deployment Engine OS Release: 1.2 ADE-OS Build Version: 1.2.0.152 ADE-OS System Architecture: i386 Copyright (c) 2005-2009 by Cisco Systems, Inc. All rights reserved. Hostname: acs51a Version information of installed applications --------------------------------------------- Cisco ACS VERSION INFORMATION ----------------------------- Version : 5.1.0.44.6 Internal Build ID : B.2347 Patches : 5-1-0-44-3 5-1-0-44-6 acs51a/admin#
- Cisco Secure ACSのWebベースインターフェイスのメインログインページで、バージョン情報が画面の左側に表示されます。
- Cisco Secure ACSのWebベースインターフェイスからログインして、画面の右上隅にあるAboutリンクをクリックします。
Cisco Secure ACSバージョン5.1はバージョン5.1.0.44として識別され、Cisco Secure ACSバージョン5.2はバージョン5.2.0.26として識別されます。バージョン番号の後に追加の数字が表示されている場合は、インストールされている最高のパッチレベルを示します。たとえば、バージョン番号5.1.0.44.3は、パッチ3がインストールされているCisco Secure ACSバージョン5.1を示します。バージョン文字列の後に追加の数字が表示されない場合は、パッチがインストールされていないCisco Secure ACSのバージョンを示しています。
脆弱性を含んでいないことが確認された製品
次のバージョンのCisco Secure ACSは、この脆弱性の影響を受けません。
- バージョン5.1より前のすべてのCisco Secure ACSバージョン
- パッチがインストールされていない、またはパッチ6以降がインストールされているCisco Secure ACSバージョン5.1
- パッチ1または2(あるいは両方)がインストールされているCisco Secure ACSバージョン5.1
- パッチ3、4、5のいずれか(またはこれらのパッチの任意の組み合わせ)がインストールされているCisco Secure ACSバージョン5.1(パッチ6以降もインストールされている場合)
- パッチ1または2(あるいは両方)がインストールされているCisco Secure ACSバージョン5.2(パッチ3以降もインストールされている場合)
- パッチ3以降がインストールされたCisco Secure ACSバージョン5.2
上記のリストは、ハードウェアアプライアンスとソフトウェアのみのバージョンの両方に適用されます。
他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。
詳細
Cisco Secure ACS は、中央の RADIUS および TACACS+ サーバとして機能し、ユーザ認証、ユーザおよび管理者のデバイス アクセス、ポリシー制御を、一元化された ID ネットワーク ソリューションに統合します。
Cisco Secure ACSの一部のバージョンには脆弱性が存在し、認証されていないリモートの攻撃者が、アカウントの以前のパスワードを入力しなくても、任意のユーザアカウントのパスワードを任意の値に変更できる可能性があります。不正利用に成功するには、ユーザアカウントが内部IDストアで定義されている必要があります。
この脆弱性は、次のタイプのユーザアカウントのパスワードの変更には使用できません。
- Lightweight Directory Access Protocol(LDAP)サーバ、Microsoft Active Directoryサーバ、RSA SecurIDサーバ、外部RADIUSサーバなどの外部IDストアで定義されるユーザアカウント
- Webベースのインターフェイスで設定されたCisco Secure ACSサーバ自体のシステム管理者アカウント
- username username password password CLIコマンドで設定された、Cisco Secure ACSサーバ自体のユーザアカウント
この脆弱性を悪用しても、ACSデータベースに対するその他の変更は実行できません。つまり、攻撃者はアクセスポリシー、デバイスプロパティ、またはユーザパスワード以外のユーザ属性を変更できません。
この脆弱性は、Cisco Bug ID CSCtl77440 (登録ユーザ専用)として文書化され、CVE IDとしてCVE-2011-0951が割り当てられています。
回避策
この脆弱性に対する回避策はありません。
Cisco Secure ACSのWebベースの管理インターフェイスへのアクセスを、限られた既知の管理ステーションだけに許可することで、攻撃対象領域を制限できます。これらのアクセス制御ルールは、http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_system/5.1/user/guide/admin_admin.html#wp1069174で入手できる『Cisco Secure ACS User Guide』の「Managing System Administrators」の章の「Configuring Administrator Access Settings」の項の手順に従って、デバイス自体で設定できます
。
Cisco Secure ACSには、オプションのUser Change Password(UCP)Webサービスが用意されています。お客様は、Webベースのフロントエンドアプリケーションまたはスクリプトインターフェイスを使用してUCP機能を実装できます。いずれの場合も、クライアントにUCPサービスを提供するコンピュータは、このようなパスワード変更を実行するためにACSサーバのTCPポート443にアクセスする必要があります。このアクセスにより、このアドバイザリで説明されている脆弱性が悪用される可能性があるため、次の両方の推奨事項が適用されます。
- UCPサービスの提供の停止
- ACSサーバへのアクセスが許可されている管理ステーションのセットに、UCPサービスを提供するコンピュータ(Webベースまたはスクリプトのいずれか)を含めないでください
ネットワーク内のCiscoデバイスに適用可能な他の緩和策については、次のURLにある付属ドキュメント『Cisco Applied Mitigation Bulletin: Identifying and Mitigating Exploitation of the Cisco Secure Access Control System Unauthorized Password Change Vulnerability』を参照してください。https://sec.cloudapps.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20110330-acs。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
この脆弱性は、最初に次のCisco Secure ACSソフトウェアパッチで修正されています。
-
Cisco Secure ACS バージョン 5.1
ファイル5-1-0-44-6.tar.gpg - ACS 5.1.0.44累積パッチ6 -
Cisco Secure ACS バージョン 5.2
ファイル5-2-0-26-3.tar.gpg - ACS 5.2.0.26累積パッチ3
これらのCisco Secure ACSパッチは、Cisco.comのSoftware Center(http://www.cisco.com/cisco/software/navigator.html (登録ユーザ専用)からダウンロードできます。パッチには、次のパスを使用してアクセスできます。
- 「Security」>「Identity Management」>「Cisco Secure Access Control System」>「Cisco Secure Access Control System 5.1」
- 「Security」>「Identity Management」>「Cisco Secure Access Control System」>「Cisco Secure Access Control System 5.2」
推奨事項
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。
この脆弱性は内部テストで発見されました。
URL
改訂履歴
|
リビジョン 1.0 |
2011年3月30日 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。