Cisco Secure Access Control Server(ACS)EAP-TLS認証の脆弱性

Extensible Authentication Protocol-Transport Layer Security(EAP-TLS)を使用してユーザをネットワーク認証するように設定されたCisco Secure Access Control Server(ACS)は、ユーザ名が有効である限り、暗号的に正しい証明書を使用する任意のユーザにアクセスを許可します。Cryptographical correctは、証明書が適切な形式であり、有効なフィールドが含まれていることを意味します。証明書が期限切れになっているか、信頼されていない認証局(CA)から発行されていて、暗号化が正しい場合があります。

この脆弱性の影響を受けるのは、Cisco Secure ACS for WindowsとCisco Secure ACS Solution Engineのバージョン3.3.1のみです。シスコでは、この問題に対処する無償のソフトウェアを提供しています。

この脆弱性は影響を与えません。つまり、EAP-TLSがCisco Secure ACSで設定され、ユーザ証明書のバイナリ比較が唯一の比較方法である場合、および Lightweight Directory Access Protocol/Active Directory(LDAP/AD)のユーザエントリに有効な証明書のみが含まれている場合、ユーザ認証は影響を受けません。

この脆弱性の不正利用は報告されていません。

このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20041102-acs-eap-tlsで確認できます。

このセクションには、該当製品に関する詳細が掲載されています。

Cisco Secure Access Control Server(ACS)は、AAAクライアントとして機能するネットワークデバイス（ネットワークアクセスサーバ、PIXファイアウォール、ルータ、スイッチなど）に、一元化された認証、許可、アカウンティング(AAA)サービスを提供します。Cisco Secure ACSを使用すると、ネットワーク管理者はアカウントを迅速に管理し、ユーザグループ全体のサービス提供レベルをグローバルに変更できます。

EAPは、トークンカード、Kerberos、ワンタイムパスワード、証明書、公開鍵認証、スマートカードなど、複数の認証方式をサポートする認証の一般的なプロトコルです。

TLSは、インターネットなどのセキュアでないネットワークを介して通信するクライアント/サーバアプリケーション間にプライバシーとデータ整合性を提供するプロトコルです。

EAPとTLSはどちらもIETF RFC標準です。EAPプロトコルは、初期認証情報、特にEAPOL（IEEE 802.1Xによって確立されたEAP over LANのカプセル化）を伝送します。TLSは、ユーザ認証と動的な一時的セッションキーの生成の両方に証明書を使用します。EAP-TLS認証プロトコルは、Cisco Secure ACSとエンドユーザクライアントの証明書を使用して、クライアントとCisco Secure ACSの相互認証を適用します。EAP、TLS、およびEAP-TLSの詳細については、次のIETF RFCを参照してください。RFC 2284(PPP Extensible Authentication Protocol)、RFC 2246（TLSプロトコル）、およびRFC 2716(PPP EAP TLS Authentication Protocol)。

このドキュメントで説明されている脆弱性は、ユーザ認証に次のような影響を与えます。Cisco Secure ACS for WindowsまたはCisco Secure ACS Solution Engineのバージョン3.3.1でEAP-TLSプロトコルが有効になっており、ネットワークデバイスおよびサービスがACSを介してユーザを認証するように設定されている場合、ユーザ名が有効である限り、また証明書が信頼できる認証局からのものであるかどうかに関係なく、暗号化された証明書をを使用するユーザにアクセス許可されます。Cryptographical correctは、証明書が適切な形式であり、有効なフィールドが含まれていることを意味します。

唯一のユーザ証明書比較方法としてユーザ証明書のバイナリ比較を実行するようにEAP-TLSが（ACSグローバル認証ページを使用して）設定されている場合、LDAP/ADのユーザエントリに有効な証明書のみが含まれている限り、ユーザ認証はこの脆弱性の影響を受けません。このシナリオでユーザ認証が影響を受けない理由は、バイナリ比較方式を使用する場合、EAP-TLSカンバセーション中にユーザのマシンから送信された証明書が、LDAP/ADのユーザエントリに保存されているユーザ証明書とも比較されるためです。

ここで説明されている脆弱性は、Cisco Bug ID CSCef62913(登録ユーザ専用)に記載されています。

ユーザアカウントがLDAP/ADサーバにあり、ユーザ証明書がLDAP/ADのユーザオブジェクトに保存されている場合、ACSグローバル認証ページで、ユーザ証明書のバイナリ比較を唯一の許可された比較方法として設定できます。有効な証明書のみがLDAP/ADのユーザエントリに保存されている場合、このドキュメントで説明されている脆弱性を回避できます。

この回避策が機能するためには、他の証明書比較方法を有効にすることができません。つまり、SANとCNの証明書比較をグローバル認証ページで無効にする必要があります。

このアドバイザリで説明されている脆弱性は、Cisco Secure ACS for WindowsソフトウェアおよびCisco Secure ACS Solution Engineのバージョン3.3.2で修正されています。現在、脆弱性が確認されたソフトウェアを実行していて、EAP-TLSを使用している場合は、次に説明するように、修正済みソフトウェアを入手する必要があります。

Cisco Secure ACS for Windowsを実行している場合は、バージョン3.3.2にアップグレードするか、Windows System32フォルダにある現在のCSCRL.dll Windowsダイナミックリンクライブラリ(DLL)を修正済みのDLLで置き換えて、Cisco Secure ACS for Windowsを再起動します。DLLを交換すると問題が解決し、完全なアップグレードは必要ありません。

DLLの修正は、http://www.cisco.com/pcgi-bin/tablebuild.pl/cs-acs-winからダウンロードできます。ファイル名はCSCef62913-fix-ACSWIN-v3.3.1.16.zipです。付属のReadmeファイル（同じ場所から入手可能）には、詳細なインストール手順が記載されています。

Cisco Secure ACS Solution Engineを使用している場合は、バージョン3.3.2にアップグレードするか、アップグレードパッケージを実行して影響を受けるDLLを置き換えることもできます（ACS Solution Engineの使用時にSystem32ディレクトリへのアクセスがないため、アップグレードパッケージが必要です）。

DLL修正のためのアップグレードパッケージは、http://www.cisco.com/pcgi-bin/tablebuild.pl/acs-soleng-3desからダウンロードできます。ファイル名はCSCef62913-fix-ACSSE-v3.3.1.16.zipです。付属のReadmeファイル（同じ場所から入手可能）には、詳細なインストール手順が記載されています。

アップグレード方式、バージョン3.3.2へのフルアップグレード、または該当するDLLのアップグレードのいずれかを無償で提供します。

Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。