High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco ASA 5500シリーズ適応型セキュリティアプライアンスには、次に示す複数の脆弱性があります。
-
SunRPCインスペクションに関するDoS脆弱性3件
-
Transport Layer Security(TLS)に関するDoS脆弱性3件
-
セッション開始プロトコル(SIP)インスペクションに関するDoS脆弱性
-
巧妙に細工されたインターネットキーエクスチェンジ(IKE)メッセージによるDoS脆弱性
これらの脆弱性は相互依存していないため、1つの脆弱性に該当するリリースが必ずしもその他の脆弱性に該当するとは限りません。
このアドバイザリで公開される脆弱性の一部には回避策があります。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20100804-asa で公開されています。
注:Cisco Firewall Services Module(FWSM)は、SunRPCのDoS脆弱性の影響を受けます。FWSMに影響する脆弱性に関しては、別途Cisco Security Advisoryが公開されています。このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20100804-fwsmで確認できます。
該当製品
Cisco ASA 5500シリーズ適応型セキュリティアプライアンスには、複数の脆弱性が存在します。影響を受けるCisco ASAソフトウェアのバージョンは、脆弱性によって異なります。
脆弱性のある製品
個々のバージョン情報については、このアドバイザリの「ソフトウェア バージョンおよび修正」セクションを参照してください。
SunRPCインスペクションに関するDoS脆弱性
Cisco ASA 5500シリーズ適応型セキュリティアプライアンスのSunRPCインスペクション機能には、3つのサービス拒否(DoS)脆弱性があります。攻撃に成功すると、DoS状態が続く可能性があります。
バージョン7.2.x、8.0.x、8.1.x、および8.2.xが該当します。SunRPCインスペクションはデフォルトで有効になっています。
SunRPCインスペクションが有効になっているかどうかを確認するには、show service-policy | include sunrpcコマンドを使用して出力結果を確認します。次の例のような結果が返されます。
ciscoasa# show service-policy | include sunrpc
Inspect: sunrpc, packet 0, drop 0, reset-drop 0
Cisco ASAでSunRPCインスペクションを有効にするには、次の設定コマンドを使用します。
class-map inspection_default match default-inspection-traffic ! policy-map global_policy class inspection_default ... inspect sunrpc ... ! service-policy global_policy global
Transport Layer Security(TLS)のDoS脆弱性
Cisco ASAセキュリティアプライアンスには、巧妙に細工された一連のTLSパケットによってトリガーされる可能性のあるDoS脆弱性が3つ存在します。攻撃に成功すると、DoS状態が続く可能性があります。バージョン7.2.x、8.0.x、8.1.x、8.2.x、および8.3.xは、これらの脆弱性の1つ以上の影響を受けます。次のいずれかの機能が設定されているCisco ASAデバイスが影響を受けます。
-
Secure Socket Layer(SSL)バーチャルプライベートネットワーク(SSL VPN)
-
該当するデバイスがCisco Adaptive Security Device Manager(ASDM)接続を受け入れるように設定されている場合
-
暗号化された音声検査の TLS プロキシ
-
HTTPS使用時のネットワークアクセスのカットスループロキシ
SSL VPN(またはWebVPN)は、webvpnコンフィギュレーションモードでenable <interface name>コマンドを使用して有効にします。SSL VPNはデフォルトで無効になっています。次の設定スニペットは、SSL VPN設定の例を示しています。
webvpn enable outside ...
ASDMアクセスは、これらの脆弱性のうち3つの影響を受けます。ASDMを使用するには、Cisco ASAへのHTTPS接続を許可するようにHTTPSサーバを有効にする必要があります。サーバを有効にするには、http server enable [port]コマンドを使用します。デフォルト ポートは 443 です。セキュリティアプライアンスの内部HTTPサーバにアクセスできるホストを指定するには、グローバルコンフィギュレーションモードでhttpコマンドを使用します。
暗号化された音声インスペクションのTLSプロキシ機能は、これらの脆弱性の影響を受けます。この機能はCisco ASAバージョン8.0(2)で導入され、デフォルトでは無効になっています。
デバイスで暗号化された音声インスペクションのTLSプロキシ機能が有効になっているかどうかを確認するには、次の例に示すようにshow tls-proxyコマンドを使用します。
ciscoasa# show tls-proxy
Maximum number of sessions: 1200
TLS-Proxy 'sip_proxy': ref_cnt 1, seq# 3
Server proxy:
Trust-point: local_ccm
Client proxy:
Local dynamic certificate issuer: LOCAL-CA-SERVER
Local dynamic certificate key-pair: phone_common
Cipher suite: aes128-sha1 aes256-sha1
Run-time proxies:
Proxy 0xcbae1538: Class-map: sip_ssl, Inspect: sip
Active sess 1, most sess 3, byte 3456043
...
<output truncated>
TLSプロキシは、SIPおよびSkinnyプロトコルをサポートします。SkinnyインスペクションのTLSプロキシは、次の例に示すように、inspect skinny <skinny_map> tls-proxy <proxy_name>を使用して有効にできます。
asa(config-pmap)# class inspection_default asa(config-pmap-c)# inspect skinny my-inspect tls-proxy my-tls-proxy asa(config)# service-policy global_policy global
注:Secure SCCPはTCPポート2443を使用しますが、別のポートに設定することもできます。
SIPインスペクション用のTLSプロキシは、次の例に示すように、inspect sip <map> tls-proxy <proxy_name>を使用して有効にできます。
asa(config-pmap)# class inspection_default asa(config-pmap-c)# inspect sip my-inspect tls-proxy my-tls-proxy asa(config)# service-policy global_policy global
Cisco ASAは、ネットワークアクセスのカットスループロキシ機能がHTTPSで使用されている場合にも脆弱です。この機能は、次の例に示すように、aaa authentication listener httpsコマンドで、HTTPSを使用した直接認証に対して有効になります。
ASA(config)# aaa authentication listener https inside port 443
セッション開始プロトコル(SIP)インスペクションに関するDoS脆弱性
DoS脆弱性は、Cisco ASA 5500シリーズ適応型セキュリティアプライアンスのSIPインスペクション機能に影響します。バージョン7.0.x、7.1.x、7.2.xは影響を受けません。バージョン8.0.x、8.1.x、および8.2.xが該当します。SIPインスペクションはデフォルトで有効になっています。
SIPインスペクションが有効になっているかどうかを確認するには、show service-policy | include sipコマンドを使用して出力結果を確認します。次の例のような結果が返されます。
ciscoasa#show service-policy | include sip
Inspect: sip , packet 0, drop 0, reset-drop 0
また、SIPインスペクションが有効になっているアプライアンスの設定は次のようになります。
class-map inspection_default match default-inspection-traffic ! policy-map global_policy class inspection_default ... inspect sip ... ! service-policy global_policy global
注:サービスポリシーは、前の例に示したグローバル設定ではなく、特定のインターフェイスに適用することもできます。
巧妙に細工されたインターネットキーエクスチェンジ(IKE)メッセージによるDoS脆弱性
Cisco ASA 5500シリーズ適応型セキュリティアプライアンス(ASA)バージョン7.0.x、7.1.x、7.2.x、8.0.x、8.1.x、8.2.x、および8.3.xが該当します。IKEはデフォルトでは有効になっていません。IKEが有効な場合、isakmp enable <interface name>コマンドが設定に表示されます。
Cisco PIX 500シリーズセキュリティアプライアンスの脆弱性ステータス
Cisco PIX 500シリーズセキュリティアプライアンスは、SunRPC、TLS、およびIKEメッセージに関するDoS脆弱性の影響を受けます。
Cisco PIX 500シリーズセキュリティアプライアンスは2009年7月28日にソフトウェアメンテナンスリリースの終了を迎えているため、Cisco PIX 500シリーズセキュリティアプライアンスではこれ以上のソフトウェアリリースは提供されません。Cisco PIX 500シリーズセキュリティアプライアンスをご使用のお客様には、Cisco ASA 5500シリーズ適応型セキュリティアプライアンスに移行するか、このアドバイザリの「回避策」セクションに記載されている適用可能な回避策を実装することをお勧めします。修正済みソフトウェアは、Cisco ASA 5500シリーズ適応型セキュリティアプライアンスで使用できます。詳細については、http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5708/ps5709/ps2030/end_of_life_notice_cisco_pix_525_sec_app.htmlでサポート終了のお知らせを参照してください。
実行中のソフトウェアバージョンの判別方法
脆弱性のあるバージョンの Cisco ASA ソフトウェアがアプライアンスで実行されているかどうかを知るには、show version コマンドを発行します。次の例は、ソフトウェアバージョン8.3(1)を実行しているCisco ASA 5500シリーズ適応型セキュリティアプライアンスを示しています。
ASA#show version | include Version Cisco Adaptive Security Appliance Software Version 8.3(1) Device Manager Version 6.3(1)
Cisco ASDMを使用してデバイスを管理している場合は、ログインウィンドウまたはCisco ASDMウィンドウの左上隅に表示される表でソフトウェアバージョンを確認できます。
脆弱性を含んでいないことが確認された製品
Cisco FWSMを除き、これらの脆弱性の影響を受けるシスコ製品は現在確認されていません。
詳細
Cisco ASA 5500シリーズ適応型セキュリティアプライアンスは、セキュリティとVPNサービスを提供するモジュラプラットフォームです。ファイアウォール、侵入防御システム(IPS)、Anti-X、VPNサービスを提供します。
Cisco ASA 5500シリーズ適応型セキュリティアプライアンスは、次の脆弱性の影響を受けます。
SunRPCインスペクションに関するDoS脆弱性
Sun RPCインスペクションエンジンは、Sun RPCプロトコルのアプリケーションインスペクションを有効または無効にします。Sun RPCは、ネットワークファイルシステム(NFS)およびネットワーク情報サービス(NIS)によって使用されます。Sun RPCサービスは任意のポートで実行できます。クライアントがサーバー上のSun RPCサービスにアクセスする場合は、サービスが実行されているポートを学習する必要があります。クライアントは、既知のポート111でポートマッパープロセス(通常はrpcbind)に問い合せて、これを実行します。Cisco ASA 5500シリーズ適応型セキュリティアプライアンスのSunRPCインスペクション機能には3つのDoS脆弱性があり、認証されていない攻撃者によって該当デバイスが再起動される可能性があります。
注:これらの脆弱性は通過トラフィックによってのみ引き起こされます。アプライアンス宛てのトラフィックはこの脆弱性を引き起こしません。これらの脆弱性は、TCPではなくUDPパケットを使用することで引き起こされる可能性があります。
これらの脆弱性は、Cisco Bug ID CSCtc77567(登録ユーザ専用)、CSCtc79922(登録ユーザ専用)、およびCSCtc85753(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2010-1578、CVE-2010-1579、およびCVE-2010が1が0割0となっていますそれぞれ580です
Transport Layer Security(TLS)のDoS脆弱性
TLSとその前身であるSSLは、インターネットなどのIPデータネットワークを介した通信にセキュリティを提供する暗号化プロトコルです。
Cisco ASAセキュリティアプライアンスには、巧妙に細工された一連のTLSパケットによって引き起こされる可能性のある脆弱性が3つ存在します。認証されていない攻撃者が該当デバイスのリロードを引き起こす可能性があります。SSL VPN、暗号化音声インスペクション用のTLSプロキシ、またはASDM管理接続を受け入れるように設定されているCisco ASAデバイスには脆弱性が存在します。
これらの脆弱性は、Cisco Bug ID CSCtd32627(登録ユーザ専用)、CSCtf37506(登録ユーザ専用)、およびCSCtf55259(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2010-1581、CVE-2010-2814、およびCVE-2010が2が0割0となっていますそれぞれ815です。
セッション開始プロトコル(SIP)インスペクションに関するDoS脆弱性
インターネット技術特別調査委員会(IETF)によって定義されたSIPは、コール処理セッション、特に二者間の音声会議、つまり「コール」を可能にします。 SIPはコールシグナリングのためにSDPと連携します。SDPはメディアストリームのポートを指定します。Cisco ASAは、SIPを使用して、任意のSIP VoIPゲートウェイおよびVoIPプロキシサーバをサポートできます。Cisco ASA経由でSIPコールをサポートするには、メディア接続アドレス、メディアポート、およびメディアの初期接続に関するシグナリングメッセージを検査する必要があります。これは、シグナリングが既知の宛先ポート(UDP/TCP 5060)経由で送信される間、メディアストリームが動的に割り当てられるためです。また、SIP によって、IP パケットのユーザ データ部に IP アドレスが埋め込まれます。SIPインスペクションは、これらの埋め込みIPアドレスにNATを適用します。
DoS脆弱性は、Cisco ASA 5500シリーズ適応型セキュリティアプライアンスのSIPインスペクション機能に影響します。SIPインスペクションはデフォルトで有効になっています。不正利用に成功すると、認証されていない攻撃者によって該当デバイスがリロードされる可能性があります。
注:これらの脆弱性は通過トラフィックによってのみ引き起こされます。アプライアンス宛てのトラフィックはこの脆弱性を引き起こしません。
この脆弱性は、Cisco Bug ID CSCtd32106(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2010-2816が割り当てられています。
巧妙に細工されたインターネットキーエクスチェンジ(IKE)メッセージによるDoS脆弱性
IPsec は、IP パケットに対して強力な認証や暗号化を実現する IP セキュリティ機能です。IKEは、IPSec標準と組み合わせて使用されるキー管理プロトコル標準です。DoS脆弱性は、Cisco ASAのIKE実装に存在します。不正利用が成功すると、認証されていない攻撃者によって該当デバイスがリロードされる可能性があります。
注:該当デバイスがIPsecリモートアクセスまたはサイト間VPN用に設定されている場合、アプライアンス宛てのトラフィックのみがこの脆弱性を引き起こす可能性があります。
この脆弱性は、Cisco Bug ID CSCte46507(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2010-2817が割り当てられています。
回避策
このセキュリティ アドバイザリでは、相互に独立した複数の脆弱性が説明されています。これらの脆弱性およびそれぞれ対応策は互いから独立しています。次に示す推奨事項の他に、ネットワーク内のCiscoデバイスに適用可能な緩和テクニックが、このアドバイザリに関連するCisco適用対応策速報(https://sec.cloudapps.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20100804-asa)で公開されています。
SunRPCインスペクションに関するDoS脆弱性
これらの脆弱性は、SunRPCインスペクションが不要な場合に無効にすることで軽減できます。管理者は、ポリシーマップ設定内のクラス設定サブモードでno inspect sunrpcコマンドを発行することにより、SunRPCインスペクションを無効にすることができます。
Transport Layer Security(TLS)のDoS脆弱性
SSL VPN(クライアントレスまたはクライアントベース)が不要な場合は、clear configure webvpnコマンドを発行して無効にすることができます。
管理者は、ASDM接続が信頼できるホストからのみ許可されていることを確認する必要があります。
セキュリティアプライアンスがASDMのHTTPS接続を受け入れるIPアドレスを特定するには、信頼できるホストアドレスまたはサブネットごとにhttpコマンドを設定します。次の例は、IPアドレス192.168.1.100の信頼できるホストを設定に追加する方法を示しています。
hostname(config)# http 192.168.1.100 255.255.255.255
暗号化された音声インスペクションのTLSプロキシ機能は、これらの脆弱性の影響を受けます。この機能は、不要な場合は無効にできます。この機能を一時的に無効にすると、これらの脆弱性が緩和されます。
ネットワークアクセスのカットスループロキシ機能がHTTPS用に設定されている場合、これらの脆弱性の影響を受けます。唯一の回避策は、不要な場合は機能を無効にすることです。HTTPSカットスループロキシ認証を無効にするには、次の例に示すように、no aaa authentication listener httpsコマンドを使用します。
ASA(config)# no aaa authentication listener https inside port 443
セッション開始プロトコル(SIP)インスペクションに関するDoS脆弱性
この脆弱性は、不要な場合はSIPインスペクションを無効にすることで軽減できます。管理者は、ポリシーマップ設定内のクラス設定サブモードでno inspect sipコマンドを発行することにより、SIPインスペクションを無効にできます。
巧妙に細工されたインターネットキーエクスチェンジ(IKE)メッセージによるDoS脆弱性
影響を受けるデバイスでIKEを無効にする以外に、この脆弱性に対する回避策はありません。no crypto isakmp enable <interface-name>コマンドを使用すると、特定のインターフェイスでIKEを無効にできます。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
|
脆弱性 |
メジャー リリース |
First Fixed Release(修正された最初のリリース) |
|---|---|---|
|
SunRPCインスペクションに関するDoS脆弱性(CSCtc77567、CSCtc79922、およびCSCtc85753) |
7.0 |
脆弱性なし |
|
7.1 |
脆弱性なし |
|
|
7.2 |
7.2(5) |
|
|
8.0 |
8.0(5.19) |
|
|
8.1 |
8.1(2.47) |
|
|
8.2 |
8.2(2) |
|
|
8.3 |
脆弱性なし |
|
|
TLSのDoS脆弱性(CSCtd32627、CSCtf37506、およびCSCtf55259) |
7.0 |
脆弱性なし |
|
7.1 |
脆弱性なし |
|
|
7.2 |
7.2(5) |
|
|
8.0 |
8.0(5.15) |
|
|
8.1 |
8.1(2.44) |
|
|
8.2 |
8.2(2.17) |
|
|
8.3 |
8.3(1.6) |
|
|
SIPインスペクションに関するDoS脆弱性(CSCtd32106) |
7.0 |
脆弱性なし |
|
7.1 |
脆弱性なし |
|
|
7.2 |
脆弱性なし |
|
|
8.0 |
8.0(5.17) |
|
|
8.1 |
8.1(2.45) |
|
|
8.2 |
8.2(2.13) |
|
|
8.3 |
脆弱性なし |
|
|
IKEメッセージのDoS脆弱性(CSCte46507) |
7.0 |
7.0(8.11) |
|
7.1 |
脆弱性あり、7.2(5)への移行が必要 |
|
|
7.2 |
7.2(5) |
|
|
8.0 |
8.0(5.15) |
|
|
8.1 |
8.1(2.44) |
|
|
8.2 |
8.2(2.10) |
|
|
8.3 |
8.3(1.1) |
注:Cisco ASAソフトウェアバージョン7.1.xは、このアドバイザリに記載されている一部の脆弱性の影響を受けます。ただし、7.1.xメジャーリリースはソフトウェアメンテナンスリリース終了のマイルストーンに達しているため、修正済みの7.1.xソフトウェアバージョンは計画されていません。詳細については、『Cisco ASA 5500シリーズ適応型セキュリティアプライアンスソフトウェアv7.1のEOL/EOS』を参照してください。
推奨リリース
次の表に、推奨リリースをすべて示します。これらの推奨リリースには、このアドバイザリに記載されているすべての脆弱性に対する修正が含まれています。シスコでは、これらの推奨リリース、またはそれ以降のリリースにアップグレードすることを推奨します。
|
メジャー リリース |
推奨リリース |
|---|---|
|
7.0 |
7.0(8.11) |
|
7.1 |
脆弱性あり、7.2(5)への移行が必要 |
|
7.2 |
7.2(5) |
|
8.0 |
8.0(5.19) |
|
8.1 |
8.1(2.47) |
|
8.2 |
8.2(2.17) |
|
8.3 |
8.3(2) |
ソフトウェアのダウンロード
Cisco ASAソフトウェアバージョン7.0(8.11)、8.0(5.19)、8.1(2.47)、および8.2(2.17)は、次の場所からダウンロードできます。
http://www.cisco.com/pcgi-bin/tablebuild.pl/ASAPSIRT?psrtdcat20e2
Cisco ASAソフトウェアバージョン7.2(5)および8.3(2)は、次のサイトからダウンロードできます。
https://sec.cloudapps.cisco.com/support/downloads/pub/Redirect.x?mdfid=279513386
推奨事項
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。
TLSのDoS脆弱性の1つがCERT-FIによってシスコに報告されました。このアドバイザリに記載されているその他すべての脆弱性は、シスコの社内テストで発見されたものです。
URL
改訂履歴
|
リビジョン 1.0 |
2010年8月4日 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。