High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco ASA 5500シリーズ適応型セキュリティアプライアンスおよびCisco PIXセキュリティアプライアンスには、デバイスのリロードや機密情報の漏洩を引き起こす可能性のある複数の脆弱性が存在します。このセキュリティアドバイザリでは、次の脆弱性の概要について説明します。
-
誤ったSIP処理の脆弱性
-
IPSecクライアント認証処理の脆弱性
-
SSL VPNメモリリークの脆弱性
-
SSL VPNのURI処理エラーの脆弱性
-
クライアントレスVPNでの情報漏えいの可能性
注:これらの脆弱性は互いに独立しています。ある機器が1つの脆弱性の影響を受け、他の脆弱性の影響は受けない場合もあります。シスコはこれらの脆弱性に対処するソフトウェアアップデートをリリースしています。この中のいくつかの脆弱性には影響を軽減する回避策が存在します。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20080903-asa で公開されています。
該当製品
次の各項では、影響を受けるCisco ASAおよびCisco PIXソフトウェアのバージョンについて説明します。
脆弱性のある製品
次のセクションでは、各脆弱性の影響を受けるCisco ASAのバージョンについて詳しく説明します。
show versionコマンドラインインターフェイス(CLI)コマンドを使用すると、脆弱性のあるバージョンのCisco PIXまたはCisco ASAソフトウェアが稼働しているかどうかを確認できます。次の例は、ソフトウェアリリース8.0(2)が稼働するCisco ASAデバイスを示しています。
ASA# show version Cisco Adaptive Security Appliance Software Version 8.0(2) Device Manager Version 6.0(1) [...]
Cisco Adaptive Security Device Manager(ASDM)を使用してデバイスを管理している場合は、ログインウィンドウの表またはASDMウィンドウの左上隅にソフトウェアバージョンが表示されます。
誤ったSIP処理の脆弱性
SIPインスペクションが設定されているCisco PIXおよびCisco ASAデバイスは、DoS攻撃を引き起こす可能性のある複数の処理エラーに対して脆弱です。7.0(7)16、7.1(2)71、7.2(4)7、8.0(3)20、および8.1(1)8よりも前のバージョンのCisco PIXおよびASAソフトウェアには、これらのSIP処理エラーに対する脆弱性があります。
IPSecクライアント認証処理の脆弱性
リモートアクセスVPN接続を終端するCisco PIXおよびCisco ASAデバイスは、7.2(4)2、8.0(3)14、および8.1(1)4より前のソフトウェアバージョンを実行している場合、サービス拒否攻撃に対して脆弱です。ソフトウェアバージョン7.0および7.1が稼働するCisco PIXおよびCisco ASAデバイスは、この脆弱性の影響を受けません。
SSL VPNメモリリークの脆弱性
クライアントレスリモートアクセスVPN接続を終端するCisco ASAデバイスは、7.2(4)2、8.0(3)14、または8.1(1)4より前のソフトウェアバージョンを実行している場合、SSL処理ソフトウェアに影響するサービス拒否攻撃に対して脆弱です。ソフトウェアバージョン7.0および7.1が稼働するCisco ASAデバイスは、この脆弱性の影響を受けません。
SSL VPNのURI処理エラーの脆弱性
クライアントレスリモートアクセスVPN接続を終端するCisco ASAデバイスは、8.0(3)15および8.1(1)5より前のソフトウェアバージョンを実行している場合、HTTPサーバのサービス拒否攻撃に対して脆弱です。ソフトウェアバージョン7.0、7.1、または7.2が稼働するCisco ASAデバイスは、この脆弱性の影響を受けません。
クライアントレスVPNでの情報漏えいの可能性
クライアントレスリモートアクセスVPN接続を終端するCisco ASAデバイスは、該当する8.0または8.1ソフトウェアバージョンを実行している場合、潜在的な情報漏洩に対して脆弱です。ソフトウェアバージョン7.0、7.1、または7.2を実行しているCisco ASAデバイスは、この脆弱性の影響を受けません。8.0(3)15および8.1(1)4より前、または8.0(3)16および8.1(1)5より後のソフトウェアバージョンが稼働するCisco ASAデバイスも、この脆弱性の影響を受けません。
脆弱性を含んでいないことが確認された製品
Cisco Firewall Services Module(FWSM)は、これらの脆弱性の影響を受けません。ソフトウェアバージョン6.xを実行しているCisco PIXセキュリティアプライアンスには脆弱性はありません。IOS、IOS XR、およびCisco Unified Boarder Elements(CUBE)には、これらの問題に対する脆弱性はありません。他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
次のセクションでは、デバイスが脆弱性の影響を受けるかどうかを判断するために役立つ詳細を提供します。
誤ったSIP処理の脆弱性
SIPインスペクションが設定されているCisco PIXおよびCisco ASAデバイスは、DoS攻撃を引き起こす可能性のある複数の処理エラーに対して脆弱です。すべてのCisco PIXおよびCisco ASAソフトウェアリリースは、これらのSIP処理の脆弱性の影響を受ける可能性があります。攻撃に成功すると、デバイスのリロードが発生する可能性があります。
SIPインスペクションは、inspect sipコマンドを使用して有効にします。
Cisco PIXまたはCisco ASAセキュリティアプライアンスがSIPパケットの検査をサポートするように設定されているかどうかを確認するには、デバイスにログインして、CLIコマンドshow service-policy | include sipコマンドを使用します。出力にInspect: sipというテキストと一部の統計情報が含まれている場合、デバイスには脆弱性のある設定が含まれています。次の例は、脆弱性のある Cisco ASA セキュリティ アプライアンスを示しています。
asa#show service-policy | include sip Inspect: sip, packet 0, drop 0, reset-drop 0 asa#
これらの脆弱性は、次のCisco Bug IDとして文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2008-2732が割り当てられています。
-
CSCsq07867(登録ユーザのみ)
-
CSCsq57091(登録ユーザのみ)
-
CSCsk60581(登録ユーザのみ)
-
CSCsq39315(登録ユーザのみ)
IPSecクライアント認証処理の脆弱性
クライアントベースのVPN接続を終了するように設定されているCisco PIXおよびCisco ASAデバイスは、ソフトウェアバージョン7.2、8.0、または8.1を実行している場合、巧妙に細工された認証処理の脆弱性に対して脆弱です。ソフトウェアバージョン7.0または7.1が稼働するデバイスは、この脆弱性の影響を受けません。
攻撃に成功すると、デバイスのリロードが発生する可能性があります。
リモートアクセスVPN接続では、cryptoコマンドを使用して、インターフェイスでcrypto isakmp enable outsideなどのInternet Security Association and Key Management Protocol(ISAKMP)を有効にします。
この脆弱性は、Cisco Bug ID CSCso69942 (登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2008-2733が割り当てられています。
SSL VPNにおけるSSL VPNメモリリークの脆弱性とURI処理エラーの脆弱性
巧妙に細工されたSSLまたはHTTPパケットにより、クライアントレスVPN接続を終端するように設定されたCisco ASAデバイスでサービス拒否状態が発生する可能性があります。攻撃に成功すると、デバイスのリロードが発生する可能性があります。
バージョン7.2、8.0、または8.1が稼働し、クライアントレスSSL VPNが有効になっているCisco ASAデバイスは、この脆弱性の影響を受ける可能性があります。ソフトウェアバージョン7.0および7.1が稼働するデバイスは、この脆弱性の影響を受けません。
クライアントレスVPN、SSL VPNクライアント、およびAnyConnect接続は、webvpnコマンドを使用して有効にします。たとえば、次の設定は、クライアントレスVPNが設定され、有効になっているCisco ASAを示しています。この場合、ASAはデフォルトポートのTCPポート443でVPN接続をリッスンします。
http server enable ! webvpn enable outside
この設定では、webvpnグループ設定内のenable outsideコマンドにより、外部インターフェイスからの攻撃に対してデバイスが脆弱であることに注意してください。
これらの脆弱性は、Cisco Bug ID CSCso66472 (登録ユーザ専用)およびCSCsq19369 (登録ユーザ専用)。Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2008-2734およびCVE-2008-2735が割り当てられています。
クライアントレスVPNでの情報漏えいの可能性
クライアントレスVPN接続を終了するように設定されたCisco ASAデバイスでは、攻撃者がユーザ名やパスワードなどの潜在的な機密情報を検出できる可能性があります。この攻撃では、攻撃者がユーザを誘導して、不正なWebサーバへのアクセス、電子メールへの返信、またはサービスとの対話を行わせ、脆弱性を悪用する必要があります。
クライアントレスVPNが有効なソフトウェアバージョン8.0または8.1が稼働するCisco ASAデバイスは、この脆弱性の影響を受ける可能性があります。ソフトウェアバージョン7.0、7.1、または7.2を実行しているCisco ASAデバイスには、この脆弱性の脆弱性はありません。
クライアントレスSSL VPN(WebVPN)接続は、webvpnコマンドを使用して有効にします。たとえば、次の設定は、クライアントレスVPNが設定され、有効になっているCisco ASAデバイスを示しています。この場合、Cisco ASAデバイスはデフォルトポートのTCPポート443でVPN接続をリッスンします。
http server enable ! webvpn enable outside
この設定では、webvpnグループ設定内のenable outsideコマンドにより、外部インターフェイスからの攻撃に対してデバイスが脆弱であることに注意してください。
この脆弱性は、Cisco Bug ID CSCsq45636 (登録ユーザ専用)に文書化されており、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2008-2736が割り当てられています。
回避策
お客様によっては、次の回避策によってこれらの脆弱性を緩和できる場合があります。
ネットワーク内のCiscoデバイスに展開できる追加の緩和テクニックについては、このアドバイザリに関連するCisco適用対応策速報(https://sec.cloudapps.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20080903-asa)を参照してください。
誤ったSIP処理の脆弱性
SIPインスペクションが不要な場合は無効にする必要があり、この機能を一時的に無効にすると、SIP処理の脆弱性が緩和されます。SIPインスペクションを無効にするには、no inspect sipコマンドを使用します。
IPSec認証処理の脆弱性
リモートアクセスVPN接続に強力なグループ資格情報を使用し、エンドユーザにグループ資格情報を提供しないでください。
SSL VPNにおけるSSL VPNメモリリークの脆弱性とURI処理エラーの脆弱性
IPSecクライアントはこの問題に対して脆弱ではなく、デバイスをアップグレードできるまで、強力なグループクレデンシャルと組み合わせて使用される可能性があります。
クライアントレスSSL VPNでの情報漏えいの可能性
クライアントベースのVPN接続には、情報漏洩の脆弱性は存在しません。8.0(3)15、8.0(3)16、8.1(1)4、または8.1(1)5を実行している場合は、クライアントレスVPNの代わりにクライアントベースのVPN接続を安全に使用できます。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
次のリストには、各脆弱性に対する第 1 修正済みソフトウェア リリースが含まれています。
脆弱性 |
Bug ID |
影響を受けるリリース |
First Fixed Release(修正された最初のリリース) |
---|---|---|---|
SIPインスペクションコードのトレースバックによるメモリ破損 |
0.CSCsq07867 |
7.0 |
7.0(7)15 |
7.1 |
7.1(2)70 |
||
7.2 |
脆弱性なし |
||
8.0 |
脆弱性なし |
||
8.1 |
脆弱性なし |
||
不正なSIPパケットを検査する際のメモリ破損およびトレースバック |
0.CSCsq57091 |
7.0 |
脆弱性なし |
7.1 |
脆弱性なし |
||
7.2 |
7.2(4)7 |
||
8.0 |
8.0(3)20 |
||
8.1 |
8.1(1)8 |
||
SIPインスペクションが有効な場合にデバイスのリロードが可能 |
0.CSCsk60581 |
7.0 |
脆弱性なし |
7.1 |
脆弱性なし |
||
7.2 |
7.2(3)18 |
||
8.0 |
8.0(3)8 |
||
8.1 |
脆弱性なし |
||
不正形式のSIP要求を処理する場合のトレースバック |
0.CSCsq39315 |
7.0 |
7.0(7)16 |
7.1 |
7.1(2)71 |
||
7.2 |
脆弱性なし |
||
8.0 |
脆弱性なし |
||
8.1 |
脆弱性なし |
||
リモートアクセス認証コードのトレースバック |
0.CSCso69942 |
7.0 |
脆弱性なし |
7.1 |
脆弱性なし |
||
7.2 |
7.2(4)2 |
||
8.0 |
8.0(3)14 |
||
8.1 |
8.1(1)4 |
||
クライアントレスSSL VPNがハングする原因となる暗号メモリリーク |
0.CSCso66472 |
7.0 |
脆弱性なし |
7.1 |
脆弱性なし |
||
7.2 |
7.2(4)2 |
||
8.0 |
8.0(3)14 |
||
8.1 |
8.1(1)4 |
||
クライアントレスSSL VPN接続でのHTTP処理エラー |
0.CSCsq19369 |
7.0 |
脆弱性なし |
7.1 |
脆弱性なし |
||
7.2 |
脆弱性なし |
||
8.0 |
8.0(3)15 |
||
8.1 |
8.1(1)5 |
||
クライアントレスSSL VPNでの情報漏えいの可能性 |
0.CSCsq45636 |
7.0 |
脆弱性なし |
7.1 |
脆弱性なし |
||
7.2 |
脆弱性なし |
||
8.0 |
8.0(3)16 |
||
8.1 |
8.1(1)6 |
||
推奨リリース |
7.0 |
7.0(7)16 |
|
7.1 |
7.1(2)72 |
||
7.2 |
7.2(4)9 |
||
8.0 |
8.0(4) |
||
8.1 |
8.1(1)8 |
「Recommended Release」行は、本アドバイザリの公開時点において公開済みであるすべての脆弱性に対する修正を含むリリースを示しています。特定の行で特定のリリースのバージョン(First Fixed Releaseより前)を実行しているデバイスには、脆弱性が存在することが確認されています。シスコでは、表の「Recommended Release」行のリリース、またはそれ以降のリリースにアップグレードすることを推奨しています。
修正済みのCisco PIXソフトウェアは、http://www.cisco.com/pcgi-bin/tablebuild.pl/pix-interim?psrtdcat20e2からダウンロードできます。
修正済みのCisco ASAソフトウェアは、http://www.cisco.com/pcgi-bin/tablebuild.pl/asa-interim?psrtdcat20e2からダウンロードできます。
推奨事項
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。
これらの脆弱性は、機器の通常の動作中および内部テストの取り組みを通じて、これらの問題が発生したお客様からシスコに報告されたものです。
URL
改訂履歴
リビジョン 1.0 |
2008年9月3日 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。