日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco Firewall Services Module(FWSM)は、Catalyst 6500シリーズスイッチおよびCisco 7600シリーズルータ用の高速な統合ファイアウォールモジュールです。Cisco Firewall Services Module(FWSM)には、URL、FTP、またはHTTPSフィルタリングが有効になっており、インバウンドTCPパケットが明示的にフィルタリングを行うアクセスリストエントリをバイパスできる脆弱性が存在します。
シスコでは、この脆弱性に対処する無償ソフトウェアを提供しています。この脆弱性に対しては、影響を緩和するための回避策があります。
このアドバイザリは https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20050511-url に掲載されています。
該当製品
このセクションには、該当製品に関する詳細が掲載されています。
脆弱性のある製品
コンテンツフィルタリングの例外を許可するように設定されている場合は、バージョン2.3.1以前を実行しているファイアウォールサービスモジュール(FWSM)がインストールされているCisco Catalyst 6500シリーズスイッチおよびCisco 7600シリーズインターネットルータだけが影響を受けます。
内部ホストが別のネットワークに到達できるようにするフィルタ例外の設定例は、次のようになります。
FWSM#show filter filter https except 0.0.0.0 0.0.0.0 10.1.3.0 255.255.255.0 filter ftp except 0.0.0.0 0.0.0.0 10.1.3.0 255.255.255.0 filter url except 0.0.0.0 0.0.0.0 10.1.3.0 255.255.255.0 filter url http 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 filter ftp 21 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 filter https 443 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
結果の出力に、引数exceptを指定したfilterコマンドが含まれている場合、このアドバイザリで説明されている脆弱性の影響を受ける可能性があります。
脆弱性のあるバージョンの FWSM ソフトウェアが稼働しているかどうかを判別するには、IOS か CatOS で show module コマンドを実行して、システムにインストールされているモジュールとサブモジュールを確認します。
次の例は、ファイアウォール サービス モジュール(WS-SVC-FWM-1)がスロット 4 にインストールされたシステムを示しています。
6506-B#show module Mod Ports Card Type Model Serial No. --- ----- -------------------------------------- ------------------ ----------- 1 48 SFM-capable 48 port 10/100/1000mb RJ45 WS-X6548-GE-TX SAxxxxxxxxx 4 6 Firewall Module WS-SVC-FWM-1 SAxxxxxxxxx 5 2 Supervisor Engine 720 (Active) WS-SUP720-BASE SAxxxxxxxxx 6 2 Supervisor Engine 720 (Hot) WS-SUP720-BASE SAxxxxxxxxx
正しいスロットを見つけたら、show module <スロット番号> コマンドを実行して、稼働しているソフトウェアのバージョンを確認します。
6506-B#sho module 4 Mod Ports Card Type Model Serial No. --- ----- -------------------------------------- ------------------ ----------- 4 6 Firewall Module WS-SVC-FWM-1 SAxxxxxxxxx Mod MAC addresses Hw Fw Sw Status --- ---------------------------------- ------ ------------ ------------ ------- 4 0003.e4xx.xxxx to 0003.e4xx.xxxx 3.0 7.2(1) 2.3(1) Ok
この例では、上記の「Sw」列に示されているように、FWSM ではバージョン 2.3(1) が動作しています。
または、show versionコマンドを使用して、FWSMから直接情報を取得することもできます。
FWSM#show version FWSM Firewall Version 2.3(1)
PIX Device Manager(PDM)を使用してFWSMを管理しているお客様は、アプリケーションにログインするだけで、ログインウィンドウの表またはPDMウィンドウの左上隅に、次のようなラベルのバージョンが表示されます。
FWSMバージョン:2.3(1)
脆弱性を含んでいないことが確認された製品
Cisco PIXセキュリティアプライアンス(PIX)やCisco適応型セキュリティアプライアンス(ASA)5500シリーズなど、同様の機能を持つ製品は該当しません。
この脆弱性に該当するその他の Cisco 製品は現在のところ見つかっていません。
詳細
Cisco ファイアウォール サービス モジュールは、Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータ用の高速な統合型ファイアウォール モジュールです。コンテンツフィルタリングの例外に対して設定されると、Cisco Firewall Services Module(FWSM)に脆弱性が存在します。この例外では、着信TCPパケットが、明示的にフィルタリングを意図したアクセスリストエントリをバイパスする可能性があります。
アクセスリスト(ACL)は、IPアドレスやIPアドレス/ポートのペアを介した特定のWebサイトまたはファイル転送プロトコル(FTP)サーバへのアウトバウンドアクセスを防止するために使用できますが、インターネットのサイズと動的な性質により、この方法でWebの使用を設定および管理することは現実的ではありません。FWSMをWebsense EnterpriseまたはN2H2サーバと組み合わせて使用すると、ハイパーテキスト転送プロトコル(HTTP)、HTTP over Secure Sockets Layer(HTTPS)、およびインターネットとのFTP接続のフィルタリングをより適切に管理できます。
URL、HTTPS、またはFTPフィルタリング例外がコマンドで設定されている場合
filter <url | https | ftp > except
特定のアドレスをフィルタリングの対象から除外するために、この例外フィルタに一致するTCPトラフィックも、任意のインターフェイスでの着信ACLインスペクションから除外される脆弱性が存在します。内部インターフェイスからの発信接続に対してフィルタリングが有効になっているため、設定を簡素化するために、内部ネットワークから送信されるすべての送信元アドレスが、送信元アドレスとすべてのゼロのマスクを介してDMZ上に配置されたサーバに到達できる設定が一般的になる場合があります。
内部ホストが別のネットワークに到達できるようにするフィルタ例外の設定例を次に示します。
FWSM# show filter filter https except 0.0.0.0 0.0.0.0 10.1.3.0 255.255.255.0 filter ftp except 0.0.0.0 0.0.0.0 10.1.3.0 255.255.255.0 filter url except 0.0.0.0 0.0.0.0 10.1.3.0 255.255.255.0 filter url http 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 filter ftp 21 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 filter https 443 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
この例では、10.1.3.0/24ネットワーク上のホストを宛先とする任意のインターフェイスからのすべてのTCPトラフィックは、明示的に拒否するACLを含め、すべてのFWSMインターフェイス入力ACLをバイパスします。
この脆弱性は、Cisco Bug ID CSCeh21590(登録ユーザ専用)に記載されています。
回避策
回避策の効果は、製品の組み合わせ、ネットワークトポロジ、トラフィックの動作、組織のミッションなど、お客様の状況によって異なります。該当する製品とリリースは多岐に渡るので、サービス プロバイダーやサポート機関に連絡し、ネットワーク内で使用するのに最も適した回避策を確認してから、実際に配備することを推奨いたします。
この問題の回避策は、設定から存在するフィルタ例外ルールを削除することです。フィルタ例外ルールは次で始まります:
filter <url | ftp | https > except
コマンドのno形式を使用して削除できます。
コンテンツフィルタリングコマンドの設定の詳細については、次を参照してください。
http://www.cisco.com/en/US/docs/security/fwsm/fwsm23/command/reference/df.html#wp1142003
修正済みソフトウェア
Cisco FWSMユーザは、バージョン2.3(2)以降のソフトウェアにアップグレードすることで、この脆弱性を解決できます。古いバージョンのソフトウェアが必要な場合は、この問題に対処する暫定イメージをTACから入手できます。2.2を実行しているインストールは2.2(1)18以降にアップグレードでき、1.1ユーザは1.1(4)4以降にアップグレードできます。
ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/en/US/products/products_security_advisories_listing.htmlおよび後続のアドバイザリも参照して、問題の発生の可能性と完全なアップグレードソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報が明確でない場合は、Cisco Technical Assistance Center(TAC)に連絡して支援を求めてください。
不正利用事例と公式発表
Cisco PSIRTは、このアドバイザリに記載されている脆弱性がお客様に影響を与える可能性があるインスタンスを認識しています。
この脆弱性は、お客様からシスコに報告されたものです。
URL
改訂履歴
リビジョン 1.0 |
2005年5月11日 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。