High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
複数の Cisco IOS XE ソフトウェア プラットフォームおよび Cisco ASA 5500-X シリーズ適応型セキュリティ アプライアンス(ASA)の IPsec ドライバ コードの脆弱性により、認証されていないリモート攻撃者がデバイスのリロードを引き起こす可能性があります。
この脆弱性は、不正な形式の IPsec Authenticatoin Header(AH)または Encapsulating Security Payload(ESP)パケットの不適切な処理が原因で発生します。攻撃者は、影響を受けるデバイスによって処理される不正な形式の IPSec パケットを送信することで、この脆弱性をエクスプロイトする可能性があります。この不正利用により、攻撃者は該当デバイスのリロードを引き起こす可能性があります。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。この脆弱性に対処する回避策はありません。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180926-ipsec
該当製品
この脆弱性は、Cisco IOS XE ソフトウェア、および Cisco ASA ソフトウェアまたは Cisco Firepower Threat Defense(FTD)ソフトウェアのいずれかを実行している特定の Cisco 5500-X シリーズ適応型セキュリティ アプライアンス(ASA)を実行している複数のプラットフォームに影響を及ぼします。詳細については、次の各項を参照してください。
- Cisco IOS XE ソフトウェア
- Cisco ASA ソフトウェア、および Firepower Threat Defense ソフトウェアがインストールされている Cisco ASA 5500-X シリーズ
脆弱性のある製品
Cisco IOS XE ソフトウェア
この脆弱性は、次の製品で実行中の Cisco IOS XE ソフトウェアに影響を及ぼします。その他のモデルは影響を受けません。
- Cisco ASR 1000 シリーズ アグリゲーション サービス ルータ:
- ASR 1001-X
- ASR 1001-HX
- ASR 1002-X
- ASR 1002-HX
- Cisco ASR 1000 シリーズ 100 Gbps エンベデッド サービス プロセッサ(ASR1000-ESP100)
- Cisco ASR 1000 シリーズ 200 Gbps エンベデッド サービス プロセッサ(ASR1000-ESP200)
- Cisco 4000 シリーズ サービス統合型ルータ:
- ISR 4431
- ISR 4451-X
Cisco IOS XE ソフトウェアは、システムが IPsec VPN 接続を終了するように設定されている場合、この脆弱性の影響を受けます。これには次の接続が含まれます。
- LAN 間 VPN
- リモートアクセス VPN(SSL VPN を除く)
- Dynamic Multipoint VPN(DMVPN)
- FlexVPN
- Group Encrypted Transport VPN(GET VPN)
- IPsec 仮想トンネル インターフェイス(VTI)
- IPsec による Open Shortest Path First バージョン 3(OSPFv3)認証のサポート
Cisco IOS XE ソフトウェアを実行しているデバイスが IPsec VPN 接続を終了するように設定されている場合、少なくとも 1 つのインターフェイスに対して暗号マップを設定するか、または IPsec VTI を使用してデバイスを設定する必要があります。
管理者は show running-config コマンドを使用して、少なくとも 1 つのアクティブ インターフェイスで設定されている暗号マップがコマンドの出力に含まれていることを確認する必要があります。次の例は、GigabitEthernet 0/0/0 インターフェイスに設定されている map-group1 という名前の暗号マップを示しています。
Router# show running-config <!-- Output Omitted --> interface GigabitEthernet0/0/0 crypto map map-group1
管理者は show running-config コマンドを使用して、少なくとも 1 つのトンネル インターフェイスで設定されている tunnel protection ipsec profile がコマンドの出力に含まれていることを確認する必要があります。次の例は、VTI インターフェイスを示しています。
注:IPsec VPNはデフォルトでは設定されていません。Router# show running-config interface tunnel 0 tunnel mode ipsec ipv4 tunnel protection ipsec profile PROF1
Cisco IOS XE ソフトウェアを実行しているデバイスが IPsec による OSPFv3 認証をサポートするように設定されている場合、実行コンフィギュレーションに次のいずれかが含まれています。
- ipv6 ospf encryption
- ipv6 ospf authentication
- ospfv3 authentication ipsec
- ospfv3 encryption ipsec
- area <area-id> authentication ipsec
- area <area-id> encryption ipsec
- area <area-id> virtual-link <router-id> authentication ipsec spi
- area <area-id> virtual-link <router-id> encryption ipsec spi
次の例は、IPsec による OSPFv3 認証のサポート用に設定されているデバイスを示しています。
Router# show running-config interface GigabitEthernet0/1 ospfv3 authentication ipsec spi 256 md5 01020304050607080910010203040506
Cisco IOS XE ソフトウェア リリースの判別
デバイス上で実行されている Cisco IOS XE ソフトウェア リリースは、管理者がデバイスにログインして、CLI で show version コマンドを実行し、表示されるシステム バナーを参照することにより確認できます。デバイスが Cisco IOS XE ソフトウェアを実行している場合、システム バナーに「Cisco IOS Software」、「Cisco IOS XE Software」などのテキストが表示されます。
次に、Cisco IOS XR ソフトウェア リリース 16.2.1 が実行されていて、インストールされているイメージ名が CAT3K_CAA-UNIVERSALK9-M であるデバイスでのコマンドの出力例を示します。
ios-xe-device# show version
Cisco IOS Software, Catalyst L3 Switch Software (CAT3K_CAA-UNIVERSALK9-M), Version Denali 16.2.1, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2016 by Cisco Systems, Inc.
Compiled Sun 27-Mar-16 21:47 by mcpre
.
.
.
Cisco IOS XE ソフトウェア リリースの命名と番号付けの規則に関する詳細は、『Cisco IOS and NX-OS Software Reference Guide』を参照してください。
Cisco ASA ソフトウェア、および Firepower Threat Defense ソフトウェアがインストールされている Cisco ASA 5500-X シリーズ
この脆弱性は、次の製品で実行中の Cisco ASA ソフトウェアまたは Cisco FTD ソフトウェアに影響を及ぼします。その他のモデルは影響を受けません。
- ASA 5506-X シリーズ
- ASA 5508-X シリーズ
- ASA 5516-X シリーズ
影響を受けるリリースの詳細については、本セキュリティ アドバイザリの「修正済みソフトウェア」セクションを参照してください。
Cisco ASA ソフトウェアは、システムが IPsec VPN 接続を終了するように設定されている場合、この脆弱性の影響を受けます。これには次の接続が含まれます。
- LAN 間 IPsec VPN
- IPsec VPN クライアントを使用したリモート アクセス VPN
- Layer 2 Tunneling Protocol(L2TP)-over-IPsec VPN 接続
Cisco FTD ソフトウェアは、システムが IPsec VPN 接続を終了するように設定されている場合、この脆弱性の影響を受けます。これには次の接続が含まれます。
- サイト間 IPsec VPN
- IPsec VPN クライアントを使用したリモート アクセス VPN
Cisco ASA ソフトウェアや Cisco FTD ソフトウェアは、システムが以下の VPN 接続だけを終了するように設定されている場合、この脆弱性の影響を受けません。
- クライアントレス SSL
- AnyConnect SSL
IPsec VPN 接続を終了するように設定されている Cisco ASA ソフトウェアをアプライアンスで実行している場合、少なくとも 1 つのインターフェイスに暗号マップを設定する必要があります。管理者は show running-config crypto map | include interface コマンドを使用して、コマンドの出力を確認する必要があります。次の例は、外部インターフェイスに設定されている outside_map という名前の暗号マップを示しています。
ciscoasa# show running-config crypto map | include interface
crypto map outside_map interface outside
注:IPsec VPNはデフォルトでは設定されていません。
Cisco FTD を実行しているアプライアンスが、IPsec VPN クライアントを使用するサイト間 VPN 接続やリモート アクセス VPN 接続を指定して設定されているかどうかを確認するためには、管理者は show running-config コマンドを使用する必要があります。次の表では、左の列に脆弱性の存在する Cisco FTD の機能を示します。右側の列は show running-config コマンドで返される脆弱な設定を示しています。
| Cisco FTD 機能 | 脆弱性の存在するコンフィギュレーション |
|---|---|
| AnyConnect IKEv2 Remote Access(クライアント サービス有効時)1、2 | crypto ikev2 enable <interface_name> client-services port <port #> webvpn anyconnect enable |
| AnyConnect IKEv2 Remote Access(クライアント サービス無効時)1、2 | crypto ikev2 enable <interface_name> webvpn anyconnect enable |
| サイト間 VPN 接続 3 | crypto map <crypto_map_name> interface <interface_name> |
1 リモート アクセス VPN 機能は、Cisco FMC の [デバイス(Devices)] > [VPN] > [リモートアクセス(Remote Access)]、または Cisco Firepower Device Manager(FDM)の [デバイス(Devices)] > [リモートアクセスVPN(Remote Access VPN)] で有効にできます。
2 リモート アクセス VPN 機能は、Cisco FTD ソフトウェア リリース 6.2.2 からサポートされています。
3 サイト間 VPN 機能は、Cisco FTD ソフトウェア リリース 6.2.0 からサポートされています。
Cisco ASA ソフトウェア リリースの判別
管理者は、Cisco ASA ソフトウェアの脆弱性が存在するリリースがアプライアンスで実行されているかどうかを確認するために show version コマンドを使用できます。次の例は、Cisco ASA ソフトウェア リリース 9.2(1) を実行中のアプライアンスでの show version コマンドの結果を示しています。
ciscoasa# show version | include Version Cisco Adaptive Security Appliance Software Version 9.2(1)
Device Manager Version 7.4(1)
Cisco FTD ソフトウェア リリースの判別
管理者は CLI から show version コマンドを使用することにより、Cisco FTD リリースを確認できます。デバイスでリリース 6.2.2 が実行されている場合、次の例のようになります。
> show version ---------------------[ ftd ]---------------------
Model : Cisco ASA5525-X Threat Defense (75) Version 6.2.2 (Build 362)
UUID : 2849ba3c-ecb8-11e6-98ca-b9fc2975893c
Rules update version : 2017-03-15-001-vrt
VDB version : 279
----------------------------------------------------
Cisco Adaptive Security Device Manager(ASDM)を使用してデバイスを管理している場合は、ログイン ウィンドウ、または Cisco ASDM ウィンドウの左上にソフトウェア リリースが表示されます。
脆弱性を含んでいないことが確認された製品
このアドバイザリの脆弱性のある製品セクションに記載されている製品のみが、この脆弱性の影響を受けることが分かっています。
シスコは、この脆弱性が Cisco IOS ソフトウェア、Cisco IOS XR ソフトウェア、および Cisco NX-OS ソフトウェアには影響を与えないことを確認しました。
詳細
この脆弱性をエクスプロイトするには、まず IPsec セキュリティ アソシエーション(SA)を設定する必要があります。
攻撃者は、その他のいくつかの条件(IPsec SA SPI と一致している、正しいシーケンス ウィンドウ内にあるなど)を満たす巧妙に細工された ESP または AH パケットを使用することで、この脆弱性をエクスプロイトできます。
回避策
修正済みソフトウェア
シスコはこのアドバイザリに記載された脆弱性に対処する無償のソフトウェアアップデートをリリースしています。お客様がインストールしたりサポートを受けたりできるのは、ライセンスをご購入いただいたソフトウェア バージョンとフィーチャ セットに対してのみとなります。そのようなソフトウェアアップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は以下のリンクに記載されたシスコのソフトウェアライセンスの条項に従うことに同意したことになります。
https://www.cisco.com/c/en/us/products/end-user-license-agreement.html
また、お客様がソフトウェアをダウンロードできるのは、ソフトウェアの有効なライセンスをシスコから直接、あるいはシスコ認定リセラーやパートナーから取得している場合に限ります。通常、これは以前購入したソフトウェアのメンテナンス アップグレードです。無償のセキュリティ ソフトウェア アップデートによって、お客様に新しいソフトウェア ライセンス、追加ソフトウェア フィーチャ セット、またはメジャー リビジョン アップグレードに対する権限が付与されることはありません。
ソフトウェアのアップグレードを検討する際には、[シスコのセキュリティアドバイザリおよびアラート(Cisco Security Advisories and Alerts)] ページで入手できるシスコ製品のアドバイザリを定期的に参照して、侵害を受ける可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
サービス契約をご利用でないお客様
シスコから直接購入したが Cisco Service Contract をご利用いただいていない場合、また、サードパーティベンダーから購入したが修正済みソフトウェアを POS から入手できない場合は、Cisco TAC に連絡してアップグレードを入手してください。
https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html
無償アップグレードの対象製品であることを証明していただくために、製品のシリアル番号と、本アドバイザリの URL をご用意ください。
Cisco IOS および IOS XE ソフトウェア
お客様が Cisco IOS ソフトウェアおよび IOS XE ソフトウェアの脆弱性による侵害の可能性を判断するため、シスコは Cisco IOS Software Checker ツールを提供しています。このツールを使用すると、特定のソフトウェア リリースに該当するシスコ セキュリティ アドバイザリ、および各アドバイザリで説明されている脆弱性が修正された最初のリリース(「First Fixed」)を特定できます。また該当する場合、そのリリースに関するすべてのアドバイザリの脆弱性が修正された最初のリリース(「Combined First Fixed」)を特定できます。
このツールを使用して次のタスクを実行できます。
- ドロップダウン リストからリリース(複数可)を選択するか、分析対象となるローカル システムからファイルをアップロードして、検索を開始する
- show version コマンドの出力をツールで解析する
- カスタマイズした検索(過去に公開されたすべてのシスコ セキュリティ アドバイザリを検索対象に入れたり、特定のアドバイザリのみ、または最新のバンドル資料のすべてのアドバイザリを含めるなど)を作成する
リリースが、公開されたシスコ セキュリティ アドバイザリのいずれかに該当するかどうかを確認するには、Cisco.com の Cisco IOS Software Checker を使用するか、以下のフィールドに Cisco IOS ソフトウェアまたは Cisco IOS XE ソフトウェアリリース(たとえば、15.1(4)M2、3.13.8S など)を入力します。
デフォルトでは、Cisco IOS ソフトウェアのチェックには、結果は、高セキュリティへの影響の評価 (サー) または重大な脆弱性にのみが含まれています。「中間」の SIR 脆弱性の結果を含めるには、Cisco.com の Cisco IOS ソフトウェア チェッカーを使用して、[Impact Rating] ドロップダウン リストの [中間(Medium)] チェックボックスをオンにします。
注:このアドバイザリの初回公開直後に、シスコはCisco IOS XEソフトウェアリリース16.8.1がCisco ISRプラットフォーム上の不正なIPsec Authentication Header(AH)パケットおよびEncapsulating Security Payload(ESP)パケットに対してこの脆弱性に対処し、ASRプラットフォーム上の不正なIPsec ESPパケットのみに対応することを決定しました。Cisco IOS XE ソフトウェア リリース 16.8.1 は、ASR プラットフォーム上の不正な IPsec AH パケットのこの脆弱性について対応していません。ASR プラットフォームについては、Cisco IOS XE Release 16.8.2. が、Cisco IOS XE ソフトウェア リリース 16.8 トレインからの最初の修整版リリースです。Cisco IOS ソフトウェアのチェックでは、プラットフォームが考慮されないため、リリース 16.8.1 に脆弱性があると誤って報告します。
Cisco IOS XE ソフトウェア リリースと Cisco IOS ソフトウェア リリースのマッピングについては、Cisco IOS XE ソフトウェアのリリースに応じて「Cisco IOS XE 2 Release Notes」、「Cisco IOS XE 3S Release Notes」、または「Cisco IOS XE 3SG Release Notes」を参照してください。
Cisco ASA ソフトウェア
次の表では、左の列に、Cisco ASA ソフトウェアのメジャー リリースを示します。右の列は、メジャー リリースが本アドバイザリに記載している脆弱性に該当するかどうか、また、本脆弱性に対する修正を含む最初のリリースに該当するかどうかを示します。本項に示すように、適切なリリースにアップグレードする必要があります。
| Cisco ASA メジャー リリース |
この脆弱性に対する最初の修正リリース |
|---|---|
| 9.31 |
影響あり。リリース9.4に移行 |
| 9.4 | 9.4.4.18 |
| 9.51 |
影響あり。リリース9.6に移行 |
| 9.6 | 9.6.4.8 |
| 9.7 | 影響あり。リリース9.8に移行 |
| 9.8 | 9.8.2.26 |
| 9.9 | 9.9.2.2 |
1Cisco ASA ソフトウェア リリース 9.3 と 9.5 は、ソフトウェアの保守寿命の ステータスに達しています。お客様は、サポートされているリリースに移行する必要があります。
顧客は Cisco.com のSoftware Center から [参照] をすべてクリックして、ハードウェア プラットフォームの ASA リストがあるセキュリティ > ファイアウォール > 適応型セキュリティ アプライアンス (ASA) > ASA 5500-x シリーズ ファイアウォール に移動できます。
Cisco FTD ソフトウェア
次の表では、左の列に、Cisco FTD ソフトウェアのメジャー リリースを示します。右の列は、メジャー リリースが本アドバイザリに記載している脆弱性に該当するかどうか、また、本脆弱性に対する修正を含む最初のリリースに該当するかどうかを示します。本項に示すように、適切なリリースにアップグレードする必要があります。
| Cisco FTD ソフトウェア リリース | この脆弱性に対する最初の修正リリース |
|---|---|
| 6.2.0 | 影響あり。リリース6.2.2.3または6.2.3.1以降に移行してください。 |
| 6.2.1 | 影響あり。リリース6.2.2.3または6.2.3.1以降に移行してください。 |
| 6.2.2 | 6.2.2.3 |
| 6.2.3 | 6.2.3.1 |
お客様は [すべて参照(Browse all)] をクリックして、[セキュリティ(Security)] > [ファイアウォール(Firewalls)] > [次世代ファイアウォール(NGFW)(Next-Generation Firewalls (NGFW))] に移動し、Cisco FTD ハードウェア プラットフォームの一覧がある Cisco.com の Software Center からソフトウェアをダウンロードできます。
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)は、本アドバイザリに記載されている脆弱性の不正利用事例やその公表を確認していません。
出典
この脆弱性は Cisco TAC サポートケースの解決中に発見されました。
URL
改訂履歴
| バージョン | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.1 | Cisco IOS XE Release 16.8.1 に脆弱性がないことを示す問題を解決するため、Cisco IOS ソフトウェアのチェックで関連づけられたデータがデータを更新。詳細については、「修正済みソフトウェア」のセクションを参照してください。 | メタデータおよび修正済みソフトウェア | Final | 2018 年 9 月 28 日 |
| 1.0 | 初回公開リリース | — | Final | 2018 年 9 月 26 日 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。