High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco IOS XE SD-WANソフトウェアのCLIの脆弱性により、認証されたローカルの攻撃者が特権権限で任意のコマンドを実行する可能性があります。
この脆弱性は、システムCLIによる不十分な入力検証に起因します。コマンドを実行する権限を持つ攻撃者は、まずローカル端末アクセスまたは管理シェルインターフェイスを使用して該当デバイスに認証を行い、巧妙に細工された入力をシステムCLIに送信することで、この脆弱性をエクスプロイトする可能性があります。エクスプロイトに成功すると、攻撃者はルートレベルの権限を使用して、基盤となるオペレーティングシステムでコマンドを実行できる可能性があります。限られたユーザ権限を持つ攻撃者は、この脆弱性を使用してシステムを完全に制御できる可能性があります。
注:特定の影響の詳細については、このアドバイザリの「詳細」セクションを参照してください。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。この脆弱性に対処する回避策はありません。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ios-xe-sdwan-VQAhEjYw
このアドバイザリは、2023 年 3 月に公開された Cisco IOS ソフトウェアおよび IOS XE ソフトウェアリリースのセキュリティ アドバイザリ バンドルの一部です。アドバイザリとリンクの一覧については、『Cisco Event Response: March 2023 Semiannual Cisco IOS and IOS XE Software Security Advisory Bundled Publication』を参照してください。
該当製品
脆弱性のある製品
この脆弱性は、コントローラモードのユニバーサル Cisco IOS XE ソフトウェアまたはスタンドアロン Cisco IOS XE SD-WAN ソフトウェアの脆弱性が存在するリリースを実行している次のシスコ製品に影響を与えます。
- 1000 シリーズ サービス統合型ルータ(ISR)
- 4000 シリーズ ISR
- ASR 1000 シリーズ アグリゲーション サービス ルータ
- Catalyst 8000 エッジ プラットフォーム ファミリ
- Cloud Services Router(CSR)1000V シリーズ
脆弱性が存在する Cisco ソフトウェアリリースについては、このアドバイザリの「修正済みソフトウェア」セクションを参照してください。
注:スタンドアロン Cisco IOS XE SD-WAN ソフトウェア リリース イメージは、ユニバーサル Cisco IOS XE ソフトウェア リリース イメージとは別のものです。SD-WAN 機能は、リリース 17.2.1r で、ユニバーサル Cisco IOS XE ソフトウェアに初めて統合されました。詳細については、『Cisco SD-WAN スタートアップガイド』を参照してください。
デバイス設定の確認
ユニバーサル Cisco IOS XE ソフトウェアを実行しているデバイスでコントローラモードが有効になっているかどうかを確認するには、2 つの方法があります。Cisco SD-WAN 機能を使用するには、デバイスがコントローラモードである必要があります。
オプション 1:show running-config | include sdwan コマンド
デバイスでコントローラモードが有効になっているかどうかを確認するには、show running-config | include sdwan コマンドを使用して、出力でトンネルモードを確認します。コマンドから tunnel mode sdwan が返される場合、SD-WAN 機能は有効です。つまり、デバイスはコントローラモードであり、脆弱性があります。コマンドから出力が返されない、またはコマンドが存在しない場合、デバイスはこの脆弱性の影響を受けません。
以下に、show running-config コントローラモードのデバイスで、| include sdwan コマンドを実行します。
Router# show running-config | include sdwan
tunnel mode sdwan
Router#
オプション 2:show version コマンドを使用します。
または、show version コマンドを使用して、デバイスがコントローラモードであるかどうかを確認します。出力の最後には、デバイスがコントローラモードであるかどうかを示すルータの動作モードが含まれます。
次に、コントローラモードのデバイスに対する show version コマンドの出力例の一部を示します。
Router# show version
.
.
.
Router operating mode: Controller-Managed
.
.
.
脆弱性を含んでいないことが確認された製品
このアドバイザリの脆弱性のある製品セクションに記載されている製品のみが、この脆弱性の影響を受けることが分かっています。
シスコは、本脆弱性が以下のシスコ製品またはプラットフォームには影響を与えないことを確認しています。
- IOS ソフトウェア
- 自律モードの IOS XE ソフトウェア
- IOS XR ソフトウェア
- Meraki 製品
- NX-OS ソフトウェア
- SD-WAN vBond Orchestrator ソフトウェア
- SD-WAN vEdge ルータ
- SD-WAN vEdge クラウドルータ
- SD-WAN vManage ソフトウェア
- SD-WAN vSmart コントローラソフトウェア
詳細
エクスプロイトの影響は、該当デバイスのデバイスのユーザーアクセス権限レベルによって異なる場合があります。
この脆弱性のセキュリティへの影響の評価(SIR)は、権限の低いユーザーがログインしてコマンドライン操作を実行することを許可されている該当デバイスでは「高」です。この場合、権限が制限されたユーザーがこの脆弱性をエクスプロイトして、該当デバイスを完全に制御する可能性があります。
高い特権を持つ管理ユーザーのみがログインを許可されている該当デバイスでは、潜在的な影響は小さくなります。この脆弱性のエクスプロイトによって管理者ユーザーが取得できる権限は少ないため、影響が軽減されます。
回避策
この脆弱性に対処する回避策はありません。
修正済みソフトウェア
シスコはこのアドバイザリに記載された脆弱性に対処する無償のソフトウェアアップデートをリリースしています。通常のソフトウェアアップデートが含まれるサービス契約をお持ちのお客様は、通常のアップデートチャネルからセキュリティ修正を取得する必要があります。
お客様がインストールしたりサポートを受けたりできるのは、ライセンスをご購入いただいたソフトウェア バージョンとフィーチャ セットに対してのみとなります。そのようなソフトウェアアップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は以下のリンクに記載されたシスコのソフトウェアライセンスの条項に従うことに同意したことになります。
https://www.cisco.com/c/en/us/products/end-user-license-agreement.html
また、お客様がソフトウェアをダウンロードできるのは、ソフトウェアの有効なライセンスをシスコから直接、あるいはシスコ認定リセラーやパートナーから取得している場合に限ります。通常、これは以前購入したソフトウェアのメンテナンス アップグレードです。無償のセキュリティ ソフトウェア アップデートによって、お客様に新しいソフトウェア ライセンス、追加ソフトウェア フィーチャ セット、またはメジャー リビジョン アップグレードに対する権限が付与されることはありません。
Cisco.com の シスコサポート & ダウンロードページには、ライセンスとダウンロードに関する情報が記載されています。このページには、[マイデバイス(My Devices)] ツールを使用するお客様のカスタマーデバイスサポート範囲も表示できます。
ソフトウェアのアップグレードを検討する際には、シスコ セキュリティ アドバイザリ ページで入手できるシスコ製品のアドバイザリを定期的に参照して、侵害を受ける可能性とアップグレード ソリューション一式を確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
サービス契約をご利用でないお客様
シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、Cisco TAC(https://www.cisco.com/c/ja_jp/support/web/tsd-cisco-worldwide-contacts.html)に連絡してアップグレードを入手してください。
無償アップグレードの対象製品であることを証明していただくために、製品のシリアル番号と、本アドバイザリの URL をご用意ください。
Cisco IOS および IOS XE ソフトウェア
お客様が Cisco IOS ソフトウェアおよび IOS XE ソフトウェアの脆弱性による侵害の可能性を判断できるように、シスコは Cisco Software Checker を提供しています。このツールを使うことで、特定のソフトウェアリリースに関連するすべてのシスコ セキュリティ アドバイザリを検索でき、それぞれのアドバイザリで言及された脆弱性を修正した最初のリリース(「First Fixed」)を特定できます。また、該当する場合には、Software Checker により判別されたすべてのアドバイザリに記載のすべての脆弱性が修正された最初のリリース(「Combined First Fixed」)を特定できます。
このツールを使用するには、「Cisco Software Checker」ページの手順に従います。あるいは、次のフォームを使用して、シスコ セキュリティ アドバイザリに該当するリリースであるかどうかを確認します。このフォームを使用するには、次の手順に従います。
- ツールで検索するアドバイザリを選択します。このアドバイザリのみ、セキュリティ影響評価(SIR)が「重大」または「高」のアドバイザリのみ、すべてのアドバイザリのいずれかです。
- リリース番号(15.9(3)M2、17.3.3 など)を入力します。
- [チェック(Check)] をクリックします。
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)は、本アドバイザリに記載されている脆弱性の不正利用事例やその公表を確認していません。
出典
本脆弱性は、シスコ内部でのセキュリティ テストによって発見されました。
URL
改訂履歴
| バージョン | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.0 | 初回公開リリース | - | Final | 2023 年 3 月 22 日 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。