Cisco PIXおよびCisco ASAにおけるリモートアクセスVPNおよびSIPの脆弱性

ダウンロード オプション

  • PDF     (396.4 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (86.1 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (80.6 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2008 年 9 月 3 日
Document ID:SA219835

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

High

High

アドバイザリーID : cisco-sa-20080903-asa
初公開日 : 2008-09-03 16:00
バージョン 1.0 : Final
CVSSスコア : 7.8
回避策 : No Workarounds available
Cisco バグ ID :
 

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

概要

Cisco ASA 5500シリーズ適応型セキュリティアプライアンスおよびCisco PIXセキュリティアプライアンスには、デバイスのリロードや機密情報の漏洩を引き起こす可能性のある複数の脆弱性が存在します。このセキュリティアドバイザリでは、次の脆弱性の概要について説明します。

  • 誤ったSIP処理の脆弱性
  • IPSecクライアント認証処理の脆弱性
  • SSL VPNメモリリークの脆弱性
  • SSL VPNのURI処理エラーの脆弱性
  • クライアントレスVPNでの情報漏えいの可能性

注:これらの脆弱性は互いに独立しています。ある機器が1つの脆弱性の影響を受け、他の脆弱性の影響は受けない場合もあります。シスコはこれらの脆弱性に対処するソフトウェアアップデートをリリースしています。この中のいくつかの脆弱性には影響を軽減する回避策が存在します。

このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080903-asa で公開されています。

該当製品

次の各項では、影響を受けるCisco ASAおよびCisco PIXソフトウェアのバージョンについて説明します。

脆弱性のある製品

次のセクションでは、各脆弱性の影響を受けるCisco ASAのバージョンについて詳しく説明します。

show versionコマンドラインインターフェイス(CLI)コマンドを使用すると、脆弱性のあるバージョンのCisco PIXまたはCisco ASAソフトウェアが稼働しているかどうかを確認できます。次の例は、ソフトウェアリリース8.0(2)が稼働するCisco ASAデバイスを示しています。 

ASA# show version

Cisco Adaptive Security Appliance Software Version 8.0(2)
Device Manager Version 6.0(1)

[...]

Cisco Adaptive Security Device Manager(ASDM)を使用してデバイスを管理している場合は、ログインウィンドウの表またはASDMウィンドウの左上隅にソフトウェアバージョンが表示されます。

誤ったSIP処理の脆弱性

SIPインスペクションが設定されているCisco PIXおよびCisco ASAデバイスは、DoS攻撃を引き起こす可能性のある複数の処理エラーに対して脆弱です。7.0(7)16、7.1(2)71、7.2(4)7、8.0(3)20、および8.1(1)8よりも前のバージョンのCisco PIXおよびASAソフトウェアには、これらのSIP処理エラーに対する脆弱性があります。

IPSecクライアント認証処理の脆弱性

リモートアクセスVPN接続を終端するCisco PIXおよびCisco ASAデバイスは、7.2(4)2、8.0(3)14、および8.1(1)4より前のソフトウェアバージョンを実行している場合、サービス拒否攻撃に対して脆弱です。ソフトウェアバージョン7.0および7.1が稼働するCisco PIXおよびCisco ASAデバイスは、この脆弱性の影響を受けません。

SSL VPNメモリリークの脆弱性

クライアントレスリモートアクセスVPN接続を終端するCisco ASAデバイスは、7.2(4)2、8.0(3)14、または8.1(1)4より前のソフトウェアバージョンを実行している場合、SSL処理ソフトウェアに影響するサービス拒否攻撃に対して脆弱です。ソフトウェアバージョン7.0および7.1が稼働するCisco ASAデバイスは、この脆弱性の影響を受けません。

SSL VPNのURI処理エラーの脆弱性

クライアントレスリモートアクセスVPN接続を終端するCisco ASAデバイスは、8.0(3)15および8.1(1)5より前のソフトウェアバージョンを実行している場合、HTTPサーバのサービス拒否攻撃に対して脆弱です。ソフトウェアバージョン7.0、7.1、または7.2が稼働するCisco ASAデバイスは、この脆弱性の影響を受けません。

クライアントレスVPNでの情報漏えいの可能性

クライアントレスリモートアクセスVPN接続を終端するCisco ASAデバイスは、該当する8.0または8.1ソフトウェアバージョンを実行している場合、潜在的な情報漏洩に対して脆弱です。ソフトウェアバージョン7.0、7.1、または7.2を実行しているCisco ASAデバイスは、この脆弱性の影響を受けません。8.0(3)15および8.1(1)4より前、または8.0(3)16および8.1(1)5より後のソフトウェアバージョンが稼働するCisco ASAデバイスも、この脆弱性の影響を受けません。

脆弱性を含んでいないことが確認された製品

Cisco Firewall Services Module(FWSM)は、これらの脆弱性の影響を受けません。ソフトウェアバージョン6.xを実行しているCisco PIXセキュリティアプライアンスには脆弱性はありません。IOS、IOS XR、およびCisco Unified Boarder Elements(CUBE)には、これらの問題に対する脆弱性はありません。他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。

詳細

次のセクションでは、デバイスが脆弱性の影響を受けるかどうかを判断するために役立つ詳細を提供します。

誤ったSIP処理の脆弱性

SIPインスペクションが設定されているCisco PIXおよびCisco ASAデバイスは、DoS攻撃を引き起こす可能性のある複数の処理エラーに対して脆弱です。すべてのCisco PIXおよびCisco ASAソフトウェアリリースは、これらのSIP処理の脆弱性の影響を受ける可能性があります。攻撃に成功すると、デバイスのリロードが発生する可能性があります。

SIPインスペクションは、inspect sipコマンドを使用して有効にします。

Cisco PIXまたはCisco ASAセキュリティアプライアンスがSIPパケットの検査をサポートするように設定されているかどうかを確認するには、デバイスにログインして、CLIコマンドshow service-policy | include sipコマンドを使用します。出力にInspect: sipというテキストと一部の統計情報が含まれている場合、デバイスには脆弱性のある設定が含まれています。次の例は、脆弱性のある Cisco ASA セキュリティ アプライアンスを示しています。

asa#show service-policy | include sip
      Inspect: sip, packet 0, drop 0, reset-drop 0

asa#

これらの脆弱性は、次のCisco Bug IDとして文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2008-2732が割り当てられています。

IPSecクライアント認証処理の脆弱性

クライアントベースのVPN接続を終了するように設定されているCisco PIXおよびCisco ASAデバイスは、ソフトウェアバージョン7.2、8.0、または8.1を実行している場合、巧妙に細工された認証処理の脆弱性に対して脆弱です。ソフトウェアバージョン7.0または7.1が稼働するデバイスは、この脆弱性の影響を受けません。

攻撃に成功すると、デバイスのリロードが発生する可能性があります。

リモートアクセスVPN接続では、cryptoコマンドを使用して、インターフェイスでcrypto isakmp enable outsideなどのInternet Security Association and Key Management Protocol(ISAKMP)を有効にします。

この脆弱性は、Cisco Bug ID CSCso69942 (登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2008-2733が割り当てられています。

SSL VPNにおけるSSL VPNメモリリークの脆弱性とURI処理エラーの脆弱性

巧妙に細工されたSSLまたはHTTPパケットにより、クライアントレスVPN接続を終端するように設定されたCisco ASAデバイスでサービス拒否状態が発生する可能性があります。攻撃に成功すると、デバイスのリロードが発生する可能性があります。

バージョン7.2、8.0、または8.1が稼働し、クライアントレスSSL VPNが有効になっているCisco ASAデバイスは、この脆弱性の影響を受ける可能性があります。ソフトウェアバージョン7.0および7.1が稼働するデバイスは、この脆弱性の影響を受けません。

クライアントレスVPN、SSL VPNクライアント、およびAnyConnect接続は、webvpnコマンドを使用して有効にします。たとえば、次の設定は、クライアントレスVPNが設定され、有効になっているCisco ASAを示しています。この場合、ASAはデフォルトポートのTCPポート443でVPN接続をリッスンします。 

http server enable                                                              
!
webvpn
 enable outside

この設定では、webvpnグループ設定内のenable outsideコマンドにより、外部インターフェイスからの攻撃に対してデバイスが脆弱であることに注意してください。

これらの脆弱性は、Cisco Bug ID CSCso66472 (登録ユーザ専用)およびCSCsq19369 (登録ユーザ専用)。Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2008-2734およびCVE-2008-2735が割り当てられています。

クライアントレスVPNでの情報漏えいの可能性

クライアントレスVPN接続を終了するように設定されたCisco ASAデバイスでは、攻撃者がユーザ名やパスワードなどの潜在的な機密情報を検出できる可能性があります。この攻撃では、攻撃者がユーザを誘導して、不正なWebサーバへのアクセス、電子メールへの返信、またはサービスとの対話を行わせ、脆弱性を悪用する必要があります。

クライアントレスVPNが有効なソフトウェアバージョン8.0または8.1が稼働するCisco ASAデバイスは、この脆弱性の影響を受ける可能性があります。ソフトウェアバージョン7.0、7.1、または7.2を実行しているCisco ASAデバイスには、この脆弱性の脆弱性はありません。

クライアントレスSSL VPN(WebVPN)接続は、webvpnコマンドを使用して有効にします。たとえば、次の設定は、クライアントレスVPNが設定され、有効になっているCisco ASAデバイスを示しています。この場合、Cisco ASAデバイスはデフォルトポートのTCPポート443でVPN接続をリッスンします。 

http server enable                                                              
!
webvpn
 enable outside

この設定では、webvpnグループ設定内のenable outsideコマンドにより、外部インターフェイスからの攻撃に対してデバイスが脆弱であることに注意してください。

この脆弱性は、Cisco Bug ID CSCsq45636 (登録ユーザ専用)に文書化されており、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2008-2736が割り当てられています。

回避策

お客様によっては、次の回避策によってこれらの脆弱性を緩和できる場合があります。

ネットワーク内のCiscoデバイスに展開できる追加の緩和テクニックについては、このアドバイザリに関連するCisco適用対応策速報(https://sec.cloudapps.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20080903-asa)を参照してください。

誤ったSIP処理の脆弱性

SIPインスペクションが不要な場合は無効にする必要があり、この機能を一時的に無効にすると、SIP処理の脆弱性が緩和されます。SIPインスペクションを無効にするには、no inspect sipコマンドを使用します。

IPSec認証処理の脆弱性

リモートアクセスVPN接続に強力なグループ資格情報を使用し、エンドユーザにグループ資格情報を提供しないでください。

SSL VPNにおけるSSL VPNメモリリークの脆弱性とURI処理エラーの脆弱性

IPSecクライアントはこの問題に対して脆弱ではなく、デバイスをアップグレードできるまで、強力なグループクレデンシャルと組み合わせて使用される可能性があります。

クライアントレスSSL VPNでの情報漏えいの可能性

クライアントベースのVPN接続には、情報漏洩の脆弱性は存在しません。8.0(3)15、8.0(3)16、8.1(1)4、または8.1(1)5を実行している場合は、クライアントレスVPNの代わりにクライアントベースのVPN接続を安全に使用できます。

修正済みソフトウェア

アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。

次のリストには、各脆弱性に対する第 1 修正済みソフトウェア リリースが含まれています。

脆弱性

Bug ID

影響を受けるリリース

First Fixed Release(修正された最初のリリース)

SIPインスペクションコードのトレースバックによるメモリ破損

0.CSCsq07867

7.0

7.0(7)15

7.1

7.1(2)70

7.2

脆弱性なし

8.0

脆弱性なし

8.1

脆弱性なし

不正なSIPパケットを検査する際のメモリ破損およびトレースバック

0.CSCsq57091

7.0

脆弱性なし

7.1

脆弱性なし

7.2

7.2(4)7

8.0

8.0(3)20

8.1

8.1(1)8

SIPインスペクションが有効な場合にデバイスのリロードが可能

0.CSCsk60581

7.0

脆弱性なし

7.1

脆弱性なし

7.2

7.2(3)18

8.0

8.0(3)8

8.1

脆弱性なし

不正形式のSIP要求を処理する場合のトレースバック

0.CSCsq39315

7.0

7.0(7)16

7.1

7.1(2)71

7.2

脆弱性なし

8.0

脆弱性なし

8.1

脆弱性なし

リモートアクセス認証コードのトレースバック

0.CSCso69942

7.0

脆弱性なし

7.1

脆弱性なし

7.2

7.2(4)2

8.0

8.0(3)14

8.1

8.1(1)4

クライアントレスSSL VPNがハングする原因となる暗号メモリリーク

0.CSCso66472

7.0

脆弱性なし

7.1

脆弱性なし

7.2

7.2(4)2

8.0

8.0(3)14

8.1

8.1(1)4

クライアントレスSSL VPN接続でのHTTP処理エラー

0.CSCsq19369

7.0

脆弱性なし

7.1

脆弱性なし

7.2

脆弱性なし

8.0

8.0(3)15

8.1

8.1(1)5

クライアントレスSSL VPNでの情報漏えいの可能性

0.CSCsq45636

7.0

脆弱性なし

7.1

脆弱性なし

7.2

脆弱性なし

8.0

8.0(3)16

8.1

8.1(1)6

推奨リリース

7.0

7.0(7)16

7.1

7.1(2)72

7.2

7.2(4)9

8.0

8.0(4)

8.1

8.1(1)8

「Recommended Release」行は、本アドバイザリの公開時点において公開済みであるすべての脆弱性に対する修正を含むリリースを示しています。特定の行で特定のリリースのバージョン(First Fixed Releaseより前)を実行しているデバイスには、脆弱性が存在することが確認されています。シスコでは、表の「Recommended Release」行のリリース、またはそれ以降のリリースにアップグレードすることを推奨しています。

修正済みのCisco PIXソフトウェアは、http://www.cisco.com/pcgi-bin/tablebuild.pl/pix-interim?psrtdcat20e2からダウンロードできます。

修正済みのCisco ASAソフトウェアは、http://www.cisco.com/pcgi-bin/tablebuild.pl/asa-interim?psrtdcat20e2からダウンロードできます。

推奨事項

$propertyAndFields.get("recommendations")

不正利用事例と公式発表

Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。

これらの脆弱性は、機器の通常の動作中および内部テストの取り組みを通じて、これらの問題が発生したお客様からシスコに報告されたものです。

URL

改訂履歴

リビジョン 1.0

2008年9月3日

初回公開リリース

利用規約

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。