Informational
Informational
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアおよびFirepower脅威対策(FTD)ソフトウェアのアクセスコントロールリスト(ACL)のブート時プログラミングに関する問題により、すべてのACLが正しくインストールされていない状態でデバイスをブートできる可能性があります。
この問題は、ACLがブート時にプログラムされる際に発生する論理エラーが原因です。スタートアップコンフィギュレーションでオブジェクトグループが順番に並んでいない場合、一部のアクセスコントロールエントリ(ACE)がインストールされていない可能性があります。ACLはデバイス間のネットワークトラフィックを制御するため、ACLが正しくプログラムされていないと、許可する必要のあるトラフィックがブロックされたり、ブロックする必要のあるトラフィックが許可されたりすることで、トラフィックが中断する可能性があります。その結果、許可ACEと拒否ACEの両方の範囲が失われ、すべてのトラフィックパターンに悪影響を及ぼす可能性がある、適切にプログラムされていないACLがデバイスにある可能性があります。
シスコはこの問題に対処するソフトウェアアップデートをリリースしました。この問題に対処する回避策はありません。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-aclconfig-wVK52f3z
脆弱性のある製品
この問題は、Cisco ASAソフトウェアリリース9.18.1以降またはCisco FTDソフトウェアリリース7.2.0以降を実行しているシスコ製品に影響を与えます。
Cisco Bug ID CSCwe64043は、次のリリースにおけるこの問題の動作に影響します。これらのリリースは、オブジェクトグループ検索(OGS)ACL最適化機能が有効になっている場合にのみ、この問題の影響を受けます。
- Cisco ASAソフトウェアリリース9.18.3.39、9.18.3.46、および9.19.1.12
- Cisco FTDソフトウェアリリース7.2.4
| Cisco ASAリリース | Cisco FTDリリース | 設定の依存関係 | 動作 |
|---|---|---|---|
| 9.18.1 以降 9.19.1 以降 |
7.2.0 以降 | オブジェクトグループ | リロード時に、順不同に設定されたオブジェクトグループはロードに失敗し、実行コンフィギュレーションには存在しません。 |
| 9.18.3.39 9.18.3.46 9.19.1.12 |
7.2.4 | オブジェクトグループによるOGSアクセス制御 | リロード時に、順不同で実行コンフィギュレーション内にあるが、それらを参照するACLに関連付けられていないオブジェクトグループがロードされます。 |
影響を受けやすい設定例については、「詳細」セクションを参照してください。
CSCwe64043の影響を受けないリリースでの動作
Cisco ASAソフトウェアリリース9.18.1以降およびCisco FTDソフトウェアリリース7.2.0以降では、この問題はデバイスのリロード時にのみトリガーされます。
この問題が原因で、スタートアップコンフィギュレーションで不適切なオブジェクトグループがブート時にロードに失敗し、これらの同じオブジェクトグループを参照するACLルールにのみ影響を与える可能性があります。この動作は、オブジェクト検索ACL最適化機能が有効かどうかには依存しません。
オブジェクトグループ設定のロードが失敗すると、デバイスのリロード時にコンソールに次のエラーメッセージが表示されます。
Specified group object (name) does not exist
*** Output from config line xxxx, " group-object name..."
このエラーメッセージは、デバイスの以降のリロード時には表示されません。
CSCwe64043の影響を受けるリリースでの動作
OGS ACL最適化機能が有効になっているCisco ASAソフトウェアリリース9.18.3.39、9.18.3.46、9.19.1.12およびCisco FTDソフトウェアリリース7.2.4では、この問題はデバイスがリロードした場合にのみトリガーされます。
スタートアップコンフィギュレーションで順序が入っていないオブジェクトグループはロードされますが、それらをメンバとして使用する広範なオブジェクトグループに関連付けられているすべてのACLルールに対して自動的に適用されるわけではありません。
この動作は、OGS ACL最適化機能が有効になっている場合にのみ発生します。この機能は、Cisco ASAソフトウェアリリース9.18.1以降およびCisco FTDソフトウェアリリース7.2.0以降の新しい導入では、デフォルトで有効になっています。Cisco ASAソフトウェアおよびCisco FTDソフトウェアの以前のリリースでは、この機能はデフォルトで無効になっています。影響を受けるリリースにアップグレードする場合は、以前の設定が維持されます。詳細については、『Cisco Secure Firewall ASAシリーズ9.18(x)リリースノート:ASA 9.18(1)の新機能』を参照してください。
OGS ACL最適化設定の決定
OGS ACL最適化設定を確認するには、デバイスのCLIでshow running-config object-group-searchコマンドを使用します。次の例は、OGS ACL最適化機能が有効になっているために危険にさらされる可能性があるデバイスでのshow running-config object-group-searchコマンドの出力を示しています。
# show running-config object-group-search
object-group-search access-control
このコマンドで空の出力が返されるか、no object-group-search access-controlの出力が返される場合は、OGS ACL最適化機能が無効になっており、デバイスはこの問題の影響を受けません。
脆弱性が存在するシスコソフトウェアリリースについては、このアドバイザリの「修正済みソフトウェア」セクションを参照してください。
脆弱性を含んでいないことが確認された製品
このアドバイザリの脆弱性のある製品セクションに記載されている製品のみがこの問題の影響を受けることが知られています。
シスコでは、この問題がCisco Firepower Management Center(FMC)ソフトウェアには影響を与えないことを確認しています。
詳細
ACLは、デバイスとの間、およびデバイスを経由するネットワークトラフィックを制御します。誤ってプログラムされたACLにより、ブロックされるはずのトラフィックがブロックされたり、ブロックされるはずのトラフィックが許可されたりして、トラフィックの中断が発生する可能性があります。このアドバイザリで説明されている問題の影響を受けるデバイスでは、許可ACEと拒否ACEの両方の範囲が欠落している可能性があるため、すべてのトラフィックパターンが悪影響を受ける可能性があります。
注:リブート時にデバイスでこの問題が発生するかどうかを確認できる単一の設定パラメータまたはステータスはありません。一般的に、より広範なオブジェクトグループが、まだ初期化されていない別のオブジェクトグループを参照すると、問題が発生します。たとえば、object-group #1はobject-group #2をメンバとして使用しますが、スタートアップコンフィギュレーションの順序により、object-group #2は後でのみ作成されます。これにより、リブート時にACEが欠落する可能性がある状態が許容されます。
CSCwe64043の影響を受けないリリースでの影響を受けやすい設定の動作
この問題は、Cisco ASAソフトウェアリリース9.18.1以降またはCisco FTDソフトウェアリリース7.2.0以降を実行しているシスコ製品に影響を与える可能性があります。これらのリリースでは、順序が入れ替わったオブジェクトグループはスタートアップコンフィギュレーションからロードできません。影響を受けやすい設定例では、Object-group network group1-dmzが参照後にスタートアップコンフィギュレーションに含まれています。したがって、Object-group network group1-dmzはロードされず、親オブジェクトグループネットワーク「A」のメンバーとして実行コンフィギュレーションから欠落します。
!
Object-group network group2-dmz
Object-group network group3-dmz
!
object-group network “A”
group-object group1-dmz
group-object group2-dmz
group-object group3-dmz
!
Object-group network group1-dmz
これにより、最初のリロード時にのみ、次のコンソールエラーが発生します。
Specified group object (group1-dmz) does not exist
*** Output from config line xxxx, " group-object group1-dmz..."
CSCwe64043の影響を受けるリリースでの脆弱性が存在する設定の動作
Cisco ASAソフトウェアリリース9.18.3.39、9.18.3.46、9.19.1.12およびCisco FTDソフトウェアリリース7.2.4はCSCwe64043の影響を受け、object-group-search access-control ACL最適化機能が有効になっている場合のみ、このアドバイザリで説明されている問題の影響を受けます。これらのリリースでは、順序が入れ替わっているすべてのオブジェクトグループがロードされ、スタートアップコンフィギュレーションエラーは生成されません。ただし、影響はより広範になる可能性があります。この脆弱な設定例では、object-group-search access-controlが設定されており、Object-group network group1-dmzが参照後にスタートアップコンフィギュレーションにあります。この状況では、オブジェクトグループネットワーク「A」全体が影響を受けます。そのメンバはすべて実行コンフィギュレーションに表示されますが、すべてのACEはインストールされず、show access-listの出力に表示されません。
!
object-group-search access-control
.
.
.
!
!
Object-group network group2-dmz
Object-group network group3-dmz
!
object-group network “A”
group-object group1-dmz
group-object group2-dmz
group-object group3-dmz
!
Object-group network group1-dmz
!
このシナリオは、リロード前、すべてのACLが正しく適用されている場合、リロード後、ブート時にACLがインストールされていない場合のshow access-list CLIコマンドの出力を比較することで確認できます。次の例は、この問題を引き起こすリロード前の出力を示しています。
# show access-list
access-list Inside_in line 1 extended deny ip object-group A any (hitcnt=0) 0xd90bfe1b
access-list Inside_in line 1 extended deny ip v4-object-group A(2147483650) any4(2147549186) (hitcnt=0) 0x95c59a2e
access-list Inside_in line 1 extended deny ip v4-object-group A(2147483650) any6(2147549187) (hitcnt=0) 0xa35991aa
access-list Inside_in line 2 extended permit ip object-group B any (hitcnt=0) 0x8beb7d31
access-list Inside_in line 2 extended permit ip v4-object-group B(2147483652) any4(2147549186) (hitcnt=0) 0x477509a7
access-list Inside_in line 2 extended permit ip v4-object-group B(2147483652) any6(2147549187) (hitcnt=0) 0x80ea08ea
次の例は、リロード後の出力を示しています。ACLが正しくインストールされておらず、デバイスが問題のある状態である。
# show access-list
access-list Inside_in line 1 extended deny ip object-group A any (hitcnt=0) 0xd90bfe1b
access-list Inside_in line 2 extended permit ip object-group B any (hitcnt=0) 0x8beb7d31
access-list Inside_in line 2 extended permit ip v4-object-group B(2147483652) any4(2147549186) (hitcnt=0) 0x477509a7
access-list Inside_in line 2 extended permit ip v4-object-group B(2147483652) any6(2147549187) (hitcnt=0) 0x80ea08ea
回避策
この問題に対処する回避策はありません。
このセクションの情報は、実行コンフィギュレーションに含まれていない、またはブート時にインストールされなかったACLコンフィギュレーションのリカバリに関連しています。いずれかのリカバリオプションを実装する場合は、次の点に注意してください。
- 修正済みリリースにアップグレードしても、欠落しているACLは回復されないため、手動による回復が必要です。
- リカバリオプションの1つを実装した後は、既存のアクセス制御ルールに新しいオブジェクトグループを追加しないでください。追加すると、設定が乱れて、この問題が再び発生する可能性があります。代わりに、新しいオブジェクトグループを新しいルールに関連付けます。
- ACLが手動で回復された後は、このアドバイザリの「修正済みソフトウェア」の項に記載されているように、デバイスを修正済みソフトウェアリリースにアップグレードすることを強く推奨します。Cisco FMCまたはCisco Cloud-Delivered FMC(cdFMC)によって管理されるCisco FTDデバイスでは、設定の回復とソフトウェアのアップグレードを同時に実行できます。
Cisco FTDソフトウェアリリース7.2.0 ~ 7.3.1の回復オプション(CSCwe64043の影響を受けない)
これらのリリースでは、スタートアップコンフィギュレーションおよび実行コンフィギュレーションにACLがありません。使用する管理デバイスに応じて、次のいずれかのアクションを実行します。
- Cisco FMCまたはCisco cdFMCによって管理されているデバイスの場合、影響を受けるACLを復元するには、Cisco FTDデバイスをリロードするたびに、アクセスコントロールポリシー(ACP)のForce Deployを実行します。
- Cisco FMC、Cisco cdFMC、またはCisco Defense Orchestratorによって管理されるデバイスについては、Cisco FMCまたはCisco cdFMC UIからアクセスコントロールポリシー(ACP)のForce Deployを実行します。
Cisco Defense Orchestratorを搭載したCisco FDM(Firepower Device Manager)またはCisco FDMによって管理されるCisco FTDデバイスは、この問題の影響を受けません。
Cisco FTDソフトウェアリリース7.2.4のリカバリオプション(CSCwe64043の影響を受けます)
このリリースでは、ACLはスタートアップコンフィギュレーションと実行コンフィギュレーションに存在しますが、ブート時に正しくインストールされなかった可能性があります。
- Cisco FMCまたはCisco cdFMCによって管理されているデバイスの場合は、影響を受けるFTDデバイスに関連付けられている現在のACPを複製し、複製したACPをCisco FTDデバイスに関連付けて展開する方法が推奨されます。FTDデバイスを元の問題のあるACPに戻したり、再度関連付けたりしないでください。重複するACPを引き続き使用します。
- Cisco FMCまたはCisco cdFMCによって管理されるデバイスに対する別の回復オプション(シスコでは推奨しません)は、新しいACPを問題のあるACPにコピーアンドペーストし、Cisco FTDデバイスに展開することです。問題のあるルールを判別するには、Cisco FTDデバイスでshow access-list CLIコマンドを使用して、注釈のみを表示する3行以上の行からなるシーケンスを検索します。3行以上のコメントは予期されず、問題のある状態を示します。次の例では、remarkキーワードが順番に並んでいることに注意してください。
# show running-config access-list
.
.
.
access-list CSM_FW_ACL_ remark rule-id 268437505: ACCESS POLICY: TEST - Mandatory
access-list CSM_FW_ACL_ remark rule-id 268437505: L4 RULE: TEST1
access-list CSM_FW_ACL_ remark rule-id 268437506: ACCESS POLICY: TEST - Mandatory
access-list CSM_FW_ACL_ remark rule-id 268437506: L7 RULE: TEST2
access-list CSM_FW_ACL_ remark rule-id 268437504: ACCESS POLICY: TEST - Default
access-list CSM_FW_ACL_ remark rule-id 268437504: L4 RULE: DEFAULT ACTION RULE
access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268437504 event-log flow-endsrc_rule_268437506 any rule-id 268437 - Cisco FMC、Cisco cdFMC、またはCisco Defense Orchestratorによって管理されるデバイスに対しては、Cisco FMCによってのみ管理されるCisco FTDデバイスに関して説明されている回復手順と同じ手順を実行します。
Cisco Defense Orchestratorを搭載したCisco FDM(Firepower Device Manager)またはCisco FDMによって管理されるCisco FTDデバイスは、この問題の影響を受けません。
Cisco ASAソフトウェアリリース9.18.1から9.18.3.39までのリカバリオプションおよびリリース9.19.1から9.19.1.12までのリカバリオプション(CSCwe64043の影響を受けません)
これらのリリースでは、スタートアップコンフィギュレーションおよび実行コンフィギュレーションにACLがありません。
CLIまたはCisco Adaptive Security Device Manager(ASDM)を使用して管理されているCisco ASAの場合は、それぞれの親オブジェクトグループの下に、不足しているオブジェクトグループメンバーシップを追加します。追加する必要があるACL設定で欠落している行を見つけるには、以前の設定バックアップを使用して、現在の設定と比較します。一般に、次の手順を使用して2つのASA設定を比較できます。
- デバイスのCLIからrunning-configをコピーし、ローカルマシン上のconfig1.txt(または任意の名前)というテキストファイルに保存します。
- バックアップ設定または以前に保存した設定から、比較のための2つ目の設定を取得します。
- CLIから2番目の設定をコピーし、ローカルマシン上のconfig2.txt(または任意の名前)という名前の別のテキストファイルに保存します。
- テキストエディタまたは端末ベースの相違ツール(diffやvimdiffなど)を開き、2つのコンフィギュレーションファイルを比較します。
- 相違ツールで強調表示された相違を分析します。通常、追加された行には+が付き、削除された行には-が付きます。このツールを使用すると、変更が発生した場所が表示され、管理者は2つの設定間の変更を比較して理解できます。
ASAがCisco Security Managerによって管理されている場合、管理者は任意の導入をデバイスにプッシュでき、Cisco Security Managerはアウトオブバンド変更(OOB)が有効(デフォルト)の場合、失われた設定行を返します。
Cisco ASAソフトウェアリリース9.18.3.39、9.18.3.46、または9.19.1.12のリカバリオプション(CSCwe64043の影響を受ける)
これらのリリースでは、ACLはスタートアップコンフィギュレーションと実行コンフィギュレーションに存在しますが、ブート時に正しくインストールされなかった可能性があります。
CLIまたはCisco ASDMを使用して管理されるデバイス
CLIまたはCisco ASDMを使用して管理されているCisco ASAの場合、一般的には、管理者は問題のあるオブジェクトグループメンバーを親オブジェクトグループから削除し、show access-list CLIコマンドを繰り返してアクセスリストルールを回復する必要があります。次の例では、問題の根本原因は、オブジェクトグループネットワークSubnets-3がオブジェクトグループネットワークRISK-NETSで使用された後、実行コンフィギュレーションで順番に使用されていることです。これは一例にすぎません。実際の情報とオブジェクトグループ名は各ASA設定に固有です。
# show access-list
.
.
.
access-list Inside_in line 1 extended deny ip object-group RISK-NETS any (hitcnt=0) 0xd90bfe1b
access-list Inside_in line 2 extended permit ip object-group ALLOW-NETS any (hitcnt=0) 0x8beb7d31
access-list Inside_in line 2 extended permit ip v4-object-group ALLOW-NETS(2147483652) any4(2147549186) (hitcnt=0) 0x477509a7
access-list Inside_in line 2 extended permit ip v4-object-group ALLOW-NETS(2147483652) any6(2147549187) (hitcnt=0) 0x80ea08ea
# show running-config | include object|subnet|access
object-group network Subnets-1
network-object object Subnet1A
network-object object Subnet1B
!
object-group network RISK-NETS
group-object Subnets-1
group-object Subnets-3
!
object-group network Subnets-3
network-object object Subnet3A
network-object object Subnet3B
!
前記の例では、RISK-NETSに関連付けられているすべてのアクセスリストがインストールされていません。これは、オブジェクトグループネットワークSubnets-3がメンバーであるためです。ただし、順番が正しいため、オブジェクトグループネットワークSubnets-3は実行コンフィギュレーションのRISK-NETSの後で初期化されます。問題のあるオブジェクトグループを削除してACLルールを回復するには、問題のある状態にあるすべてのルールに対して次の手順を実行します。
# config t
(config)# object-group network RISK-NETS
(config-network-object-group)# no group-object Subnets-3
(config)# access-list Inside_in line 1 extended deny ip object-group RISK-NETS any
Cisco Security Managerを使用して管理されるデバイス
Cisco Security Managerによって管理されるCisco ASAのリカバリオプションは次のとおりです。
- 影響を受けるデバイスに関連付けられている現在のACPを複製し、ASAに関連付けて展開する必要があります。
- 管理者は、この問題の影響を受けた同じACPに新しいACPを貼り付けて、ASAに展開できます。
ACLリカバリに関するサポートが必要なお客様は、Cisco Technical Assistance Center(TAC)または契約したメンテナンスプロバイダーに連絡することをお勧めします。修正済みリリースにアップグレードしても欠落しているACLは復元されず、その後の修正済みリリースへのアップグレードでは手動での回復が必要になることに注意してください。
修正済みソフトウェア
ソフトウェアのアップグレードを検討する際には、シスコ セキュリティ アドバイザリ ページで入手できるシスコ製品のアドバイザリを定期的に参照して、侵害を受ける可能性とアップグレード ソリューション一式を確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
修正済みリリース
発行時点では、次の表に記載されているリリース情報は正確でした。最も完全で最新の情報については、このアドバイザリの上部にあるバグ ID の詳細セクションを参照してください。
左の列はシスコソフトウェアリリースを示し、右の列はリリースがこのアドバイザリに記載されている問題に該当するかどうか、およびこの問題に対する修正を含むリリースを示します。
| Cisco ASAリリース | First Fixed Release(修正された最初のリリース) |
|---|---|
| 9.18 より前 | Not affected |
| 9.18 | 9.18.3.53 |
| 9.19 | 9.19.1.18 |
| Cisco FTD リリース | First Fixed Release(修正された最初のリリース) |
|---|---|
| 7.2 より前 | Not affected |
| 7.2 | 7.2.4.1 7.2.5 Cisco_FTD_Hotfix_AW-7.2.4.1-1.sh.RE L.tar Cisco_FTD_SSP_FP1K_Hotfix_AW-7.2.4.1-1.sh.RE L.tar Cisco_FTD_SSP_FP2K_Hotfix_AW-7.2.4.1-1.sh.RE L.tar Cisco_FTD_SSP_FP3K_Hotfix_AW-7.2.4.1-1.sh.RE L.tar Cisco_FTD_SSP_Hotfix_AW-7.2.4.1-1.sh.RE L.tar |
| 7.3 | 7.3.1.1 (future release) |
Product Security Incident Response Team(PSIRT; プロダクト セキュリティ インシデント レスポンス チーム)は、このアドバイザリに記載されている該当するリリース情報と修正されたリリース情報のみを検証します。
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。
出典
この問題は、Cisco TACサポートケースの解決中に発見されました。
URL
改訂履歴
| バージョン | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.1 | オブジェクトグループの役割を明確化。 | 要約 | Final | 2023年7月27日 |
| 1.0 | 初回公開リリース | — | Final | 2023年7月27日 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。