日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco Secure PIX Firewallは、FTP(File Transfer Protocol)コマンドをコンテキスト外で解釈し、ファイアウォールを介した一時的なアクセスを不適切に開きます。これは、関連する2つの脆弱性について説明する暫定的な通知です。
1つ目の脆弱性は、カプセル化されたコマンドを含む内部FTPサーバからエラーメッセージをファイアウォールが受信し、ファイアウォールが別のコマンドとして解釈する際に実行されます。この脆弱性は、ファイアウォールを介して別の接続を開くために不正利用される可能性があります。この脆弱性は、Cisco Bug ID CSCdp86352に記載されています。
2つ目の脆弱性は、ファイアウォール内のクライアントが外部サーバをブラウズし、ファイアウォールが2つ以上のFTPコマンドとして解釈するリンクを選択する際に実行されます。クライアントは期待どおりにFTP接続を開始すると同時に、ファイアウォールを介して別の接続を開く別のコマンドを予期せず実行します。この脆弱性は、Cisco Bug ID CSCdr09226に記載されています。
いずれの脆弱性も、許可なしでファイアウォールを介して情報を送信するために不正利用される可能性があります。
これらの脆弱性は、今回の暫定セキュリティアドバイザリで詳しく取り上げています。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20000316-pix-ftp で公開されています。
該当製品
このセクションには、該当製品に関する詳細が掲載されています。
脆弱性のある製品
FTPサービスへのアクセスを提供する4.2(5)、4.4(4)、および5.0(3)までのソフトウェアバージョンのCisco Secure PIX Firewallのすべてのユーザが、両方の脆弱性の影響を受けます。
ソフトウェアバージョン5.1(1)が稼働するCisco Secure PIX Firewallは、2つ目の脆弱性の影響のみを受けます。
脆弱性を含んでいないことが確認された製品
Cisco Secure Integrated Software(旧称Cisco IOS® Software Firewall Feature Set)は、いずれの脆弱性の影響も受けません。
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
1つ目の脆弱性には、Cisco Bug ID CSCdp86352が割り当てられています。2つ目の脆弱性には、Cisco Bug ID CSCdr09226が割り当てられています。
この動作は、Cisco Secure PIX Firewallでデフォルトで有効になっているfixup protocol ftp [portnum]コマンドが原因で発生します。
保護されたFTPホストに付随する設定(下記の設定例)がない場合は、攻撃に対して脆弱ではありません。これにより、サーバはエラーメッセージ内にカプセル化された有効なコマンドを送信し、ファイアウォールはカプセル化された部分的なコマンドを有効なコマンドとして読み取るようになります(CSCdp86352)。
この脆弱性を不正利用するには、攻撃者はPIX Firewallによって保護されているFTPサーバに接続できる必要があります。Cisco Secure PIX Firewallに次のような設定行がある場合。
fixup protocol ftp 21
および次のいずれか 1 つ
conduit permit tcp host 192.168.0.1 eq 21 any
または
conduit permit tcp 192.168.0.1 255.255.255.0 eq 21 any
PIXのステートフル検査によって任意のTCPポートが開放され、攻撃者が定義済みのセキュリティポリシーを回避できるようになる可能性があります。
内部クライアントが任意のFTP接続を発信することを許可する場合、2番目の脆弱性(CSCdr09226)の影響を受ける可能性があります。これは、CERT advisory CA-2000-02: Malicious HTML Tags Embedded in Client Web Requests http://www.cert.org/advisories/CA-2000-02.htmlに基づく攻撃です。
このドキュメントの「回避策」セクションにある推奨事項により、この脆弱性に対する保護が提供されます。
第1の脆弱性(CSCdp86352) への対応
PIX Firewallの「fixup protocol FTP」動作には、次の変更が加えられています。
-
PASVコマンドが受け入れられたことを示す応答を生成できるのはサーバのみであることを強制します。
-
クライアントだけがPORTコマンドを生成できるように強制します。
-
データチャネルがFTPトランザクションの予期された側から開始されることを強制します。
-
「227」応答コードとPORTコマンドが完全なコマンドであり、フラグメントに分割された「500」エラーコード文字列の一部ではないことを確認します。
-
ポートが0または[1,1024]の範囲内でないことを強制します
これらの変更または同等の変更は、バージョン5.1(1)以降のすべてのPIX Firewallソフトウェアバージョンに適用されます。
第2の脆弱性(CSCdr09226) への対応
この問題に対処するために、次のコマンドキーワードが追加されています。
fixup protocol ftp [strict] <port1>[-<port2>]
「strict」キーワードは、fixup protocol ftpコマンドに対して厳密なコマンド状態を維持するように指示し、コマンドパイプラインやコマンドのグループ化などの一部のFTP機能に影響を与える可能性があります。この問題は、バージョン5.1(2)以降、およびバージョン4.4(5)で修正される予定です。
回避策
このドキュメントで説明されている動作は、デフォルトのコマンドfixup protocol ftp [portnum]の結果です。この機能を無効にするには、no fixup protocol ftpコマンドを入力します。これにより、PIXでのFTPプロトコルのフィックスアップのサポートが無効になり、脆弱性が排除されます。コマンドfixup protocol ftp 21がこの機能のデフォルト設定であり、Cisco Secure PIX Firewallではデフォルトで有効になっています。
この回避策により、クライアントはパッシブモードでFTPを使用することを強制され、着信FTPサービスはサポートされません。アウトバウンド標準FTPは、fixup protocol ftp 21がないと機能しませんが、パッシブFTPはfixup protocol ftpが設定されていない場合は正常に機能します。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
|
該当バージョン |
暫定リリース**(修正は今後のすべてのバージョンに適用されます) TACを通じて利用可能 |
最初の修正済み定期リリース(修正は以降のすべてのバージョンに適用されます) |
|---|---|---|
|
バージョン4.2(5)までのCisco Secure PIXのすべてのバージョン(2.7、3.0、3.1、4.0、4.1を含む) |
4.2(5) 205** |
4.4(5)へのアップグレードが利用可能になりました。 |
|
バージョン4.4(4)以前のすべての4.3.xおよび4.4.x |
4.4(4) 202** |
4.4(5)は2000年5月30日時点で利用可能です。 |
|
バージョン5.0(1)以前のすべての5.0.x |
5.0(3) 202** |
5.1(2)へのアップグレードが利用可能になりました。 |
|
バージョン5.1(1):CSCdp86352の影響を受けない |
5.1(1) 207** |
5.1(2)は2000年6月9日時点で利用可能です。 |
**暫定リリースは、通常のリリースよりも少ない内部テストおよび検証の対象となりますが、重大なバグが含まれている可能性があるため、十分に注意してインストールする必要があります。
この暫定セキュリティアドバイザリで対処されている両方の脆弱性を修正するリリースバージョンを含むようにスケジュールが更新されています。
バージョン4.3または4.4がPIX「クラシック」で使用されている場合(PIX10000、PIX-510、PIX-520、およびPIX-515を除く)
または
バージョン5.0がPIX「Classic」、PIX10000、またはPIX-510で使用されている場合(PIX-520およびPIX-515を除く)
PIX Firewall用の128MBのアップグレードが必要です。新しいソフトウェアのインストールと同様に、アップグレードを計画しているお客様は、アップグレードを開始する前に、リリースノートやその他の関連ドキュメントを注意深く読む必要があります。また、使用しているハードウェアで新しいバージョンのCisco Secure PIX Firewallソフトウェアがサポートされていること、特に十分なメモリが使用できることを確認することも重要です。
推奨事項
不正利用事例と公式発表
この脆弱性はBUGTRAQリストで提示されており、この記事のフォローアップで、Cisco Secure PIX Firewallも脆弱性の影響を受けやすいと判断されました。これらの脆弱性については広く議論されているため、完全な修正を行う前にこのアドバイザリを公開します。完全な修正が入手可能になった時点で、この通知を再度更新します。
シスコには、この脆弱性の悪意のあるエクスプロイトに関する報告はありません。ただし、さまざまなセキュリティ関連リストにエクスプロイトスクリプトのバージョンが公開されています。
この脆弱性は、当初の想定の直後に複数のソースを通じてシスコに報告されました。
URL
改訂履歴
|
Revision 1.7 |
2000年6月27日 |
– この通知のステータスのセクションでFINALステータスに変更され、ソフトウェアバージョンと修正のセクションで最初の修正済み通常リリースに変更されました。 |
|
Revision 1.6 |
2000年5月19日 |
この通知の「暫定」セクションのステータスの日付と、「ソフトウェアバージョンおよび修正」セクションの日付の変更。 |
|
Revision 1.5 |
2000年4月28日 |
要約の変更、2つ目の脆弱性に対する応答(CSCdr09226)、ソフトウェアバージョンと修正、およびこの通知セクションのステータス。 |
|
リビジョン 1.4 |
2000年4月4日 |
修正済みソフトウェアの日付および本Noticeセクションのステータスの変更。 |
|
リビジョン 1.3 |
2000年3月16日 |
2つ目の脆弱性の問題の追加 |
|
リビジョン 1.1 |
2000年3月16日 |
リンクの訂正、表の見出しの説明。 |
|
リビジョン 1.0 |
2000年3月16日 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。