Cisco AnyConnectセキュアモビリティクライアントの複数の脆弱性

Cisco AnyConnectセキュアモビリティクライアント（旧称Cisco AnyConnect VPN Client）は、次の脆弱性の影響を受けます。

• 任意のプログラム実行の脆弱性
• ローカル権限昇格の脆弱性

シスコはこれらの脆弱性に対処するソフトウェアアップデートをリリースしています。このアドバイザリに記載されている脆弱性に対する回避策はありません。

Cisco AnyConnectセキュアモビリティクライアントはシスコの次世代VPNクライアントで、Cisco 5500シリーズ適応型セキュリティアプライアンス(ASA)およびCisco IOSソフトウェアを実行しているデバイスに対して、リモートユーザにセキュアIPsec(IKEv2)またはSSL仮想プライベートネットワーク(VPN)接続を提供します。

Cisco AnyConnectセキュアモビリティクライアントは、次の脆弱性の影響を受けます。

任意のプログラム実行の脆弱性

Cisco AnyConnectセキュアモビリティクライアントは、VPNヘッドエンドからリモートユーザに導入することも、エンドポイントがVPNヘッドエンドに接続する前にインストールすることもできます。このプロセスを事前導入と呼びます。Cisco AnyConnectセキュアモビリティクライアントが事前展開されると、クライアントソフトウェアがインストールされ、他のアプリケーションと同様に実行されます。

Cisco AnyConnectセキュアモビリティクライアントをVPNヘッドエンドから導入すると、Webブラウザを使用してVPNヘッドエンドへのSSL接続が開始されます。ユーザがログインすると、ブラウザにポータルウィンドウが表示されます。ユーザが[Start AnyConnect]リンクをクリックすると、Cisco AnyConnectセキュアモビリティクライアントのダウンロード処理が開始されます。このアクションにより、ブラウザは最初に「ヘルパー」アプリケーションをダウンロードし、実際のCisco AnyConnectセキュアモビリティクライアントのダウンロードと実行を支援します。ヘルパーアプリケーションは、LinuxおよびMacOS Xプラットフォーム上のJavaアプレットで、ブラウザがActiveXコントロールを利用できる場合は、Windowsプラットフォーム上のJavaアプレットかActiveXコントロールのいずれかです。ダウンロードされたヘルパーアプリケーションは、ユーザのWebブラウザ内の元のサイトのコンテキストで実行されます。ヘルパーアプリケーションは、VPNヘッドエンドからCisco AnyConnectセキュアモビリティクライアントをダウンロードして実行します。

クライアントがVPNヘッドエンドから展開されている場合、ヘルパーアプリケーションは、ダウンロードされたCisco AnyConnectセキュアモビリティクライアントの実行可能ファイルの信頼性を適切に検証できません。攻撃者は、通常のVPN Webログインページのように見える悪意のあるWebページを作成し、ソーシャルエンジニアリングまたは他の脆弱性の不正利用を通じてユーザにアクセスを促す可能性があります。これにより、攻撃者は任意の実行可能ファイルを提供し、ヘルパーアプリケーションはこれをダウンロードして、該当ユーザのマシンで実行できるようになります。この任意の実行可能ファイルは、Webブラウザを実行したのと同じオペレーティングシステム権限で実行されます。

Cisco AnyConnectセキュアモビリティクライアントの修正済みバージョンでは、コード署名を使用して、VPNヘッドエンドからダウンロードされたコンポーネントの信頼性を検証します。

この脆弱性は、Microsoft Windowsプラットフォーム上のCisco AnyConnectセキュアモビリティクライアントに関するCisco Bug ID CSCsy00904(登録ユーザ専用)と、LinuxおよびApple MacOS Xプラットフォーム上のCisco AnyConnectセキュアモビリティクライアントに関するCisco Bug ID CSCsy05934(登録ユーザ専用)に記載されています。これらの脆弱性には、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2011-2039(CSCsy00904用)およびCVE-2011-2040(CSCsy05934用)が割り当てられています。

任意のプログラム実行の脆弱性に関するその他の考慮事項

Cisco AnyConnectセキュアモビリティクライアントに同梱されている新しいバージョンのActiveXコントロールとJavaアプレットは、コード署名を使用してVPNヘッドエンドからダウンロードされたコンポーネントの信頼性を検証しますが、ダウンロードされたコンポーネントを検証しない古いバージョンの問題は依然として存在します。攻撃者は、ActiveXコントロールまたはJavaアプレットの影響を受けるバージョンを提供するWebページをエンジニアリングし、真正性検証が行われないために任意のプログラム実行を達成する可能性があります。

ActiveXコントロールの古いバージョンのリスクを軽減するには、次の方法があります。

• 修正済みのCisco AnyConnectセキュアモビリティクライアントのバージョンをVPNヘッドエンドにロードし、（Webブラウザまたはスタンドアロンクライアントを介して）VPN接続を確立します。この操作により、新しいバージョンのActiveXコントロールを含む新しいバージョンのCisco AnyConnectセキュアモビリティクライアントがインストールされます。これが発生すると、古いバージョンのActiveXコントロールがダウンロード用に提示された場合、そのコントロールはインスタンス化されません。
• エンタープライズソフトウェアアップグレードインフラストラクチャを通じて、Cisco AnyConnectセキュアモビリティクライアントの修正済みバージョンを事前導入します。このアクションは、前の推奨事項と同じ結果を実現します。つまり、ActiveXコントロールの新しい修正済みバージョンを展開し、コントロールの古いバージョンがダウンロード用に提示された場合でも脆弱なバージョンがインスタンス化されないようにします。
• VPNヘッドエンドからクライアントを展開する必要がない場合は、Cisco AnyConnectセキュアモビリティクライアントのActiveXコントロールのキルビットをローカルに設定できます。この操作により、ActiveXコントロールは任意のシナリオでインスタンス化されなくなります。キルビットを設定する手順については、このドキュメントでは扱いません。詳細については、Microsoftサポート記事「How to stop an ActiveX control from running in Internet Explorer」(http://support.microsoft.com/kb/240797)およびMicrosoft Security Vulnerability Research & Defenseのブログ記事「Kill-Bit FAQ」を参照してください。
  Cisco AnyConnectセキュアモビリティクライアントが使用するActiveXコントロールのCLSID（クラスID）は55963676-2F5E-4BAF-AC28-CF26AA587566、ProgID（プログラムID）は「Cisco.AnyConnect.VPNWeb.1」です。このCLSIDは、コード署名の検証を実装する新しいバージョンのActiveXコントロールでは変更されなかったことに注意してください。

Java SE 6 Update 14で導入されたJarブラックリスト機能を使用して、脆弱性のある旧バージョンをブラックリスト登録することで、Javaアプレットの旧バージョンのリスクを軽減できます。Jarブラックリスト機能の詳細については、http://www.oracle.com/technetwork/java/javase/6u14-137039.htmlで入手できる『Java SE 6 Update 14』リリースノートを参照してください。

ブラックリストに登録されるjarファイルは、次のSHA-1メッセージダイジェストによって識別されます。

# 2.3.0254, 2.3.1003, 2.3.2016, 2.4.0202, 2.4.1012,
# 2.5.0217, 2.5.1025, 2.5.2001, 2.5.2006, 2.5.2010,
# 2.5.2011, 2.5.2014, 2.5.2017, 2.5.2018, 2.5.2019
SHA1-Digest-Manifest : x17xGEFzBRXY2pLtXiIbp8J7U9M=

# 2.2.0133, 2.2.0136, 2.2.0140
SHA1-Digest-Manifest : ya6YNTzMCFYUO4lwhmz9OWhhIz8=

# 2.0.0343, 2.1.0148
SHA1-Digest-Manifest : YwuPyF/KMcxcQhgxilzNybFM2+8=

ローカル権限昇格の脆弱性

非特権ユーザは、Start Before Logon(SBL)機能を有効にし、Windowsログオン画面でCisco AnyConnectセキュアモビリティクライアントのグラフィカルユーザインターフェイス(GUI)を操作することで、LocalSystemアカウントの特権に昇格できます。

この問題を回避するため、Cisco AnyConnectセキュアモビリティクライアントの修正済みバージョンでは、Windowsのログオン画面にクライアントのグラフィカルユーザインターフェイス(GUI)が表示される際に、GUIで可能なインタラクションの量が制限されています。

SBL機能はLinuxおよびMacOS Xクライアントでサポートされていないため、この脆弱性はWindows用Cisco AnyConnectセキュアモビリティクライアントにのみ影響を与えます。

この脆弱性は、Cisco Bug ID CSCta40556 (登録ユーザ専用)として文書化され、CVE IDとしてCVE-2011-2041が割り当てられています。

このアドバイザリに記載されている脆弱性に対する回避策はありません。

アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center（TAC）または契約を結んでいるメンテナンス プロバイダーにお問い合せください。

推奨リリース

次の表に、推奨リリースをすべて示します。これらの推奨リリースには、このアドバイザリに記載されているすべての脆弱性に対する修正が含まれています。シスコでは、これらの推奨リリース、またはそれ以降のリリースにアップグレードすることを推奨します。

ソフトウェアのダウンロード

Cisco AnyConnectセキュアモビリティクライアントは、Cisco.comのSoftware Centerからhttp://www.cisco.com/cisco/software/navigator.htmlにアクセスし、Products > Security > Virtual Private Networks (VPN) > Cisco VPN Clients > Cisco AnyConnect Secure Mobility Clientの順に選択することでダウンロードできます。

Cisco PSIRTでは、本アドバイザリに記載されている脆弱性の不正利用事例は確認しておりません。任意のプログラム実行の脆弱性を不正利用するように設計されているMetasploit Frameworkモジュールの形式で、公開のエクスプロイトコードがリリースされています。

任意のプログラム実行の脆弱性は、Elazar Broadによって発見され、iDefenseによってシスコに報告されました。この脆弱性を報告いただき、弊社と連携しての公開にご協力いただいたiDefense社に感謝いたします。

ローカル権限昇格の脆弱性は、お客様からシスコに報告されたものです。

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。