日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco Internetwork Operating System(IOS)ソフトウェアリリーストレイン12.2T、12.3、および12.3TがEasy VPNサーバとして設定されている場合、特定のInternet Key Exchange(IKE;インターネットキーエクスチェンジ)Xauthメッセージの処理に脆弱性が含まれる場合があります。
これらの脆弱性が悪用されると、不正なユーザが認証を完了し、ネットワークリソースにアクセスする可能性があります。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20050406-xauthで公開されます。
シスコでは、該当するお客様用に、この脆弱性に対応する無償ソフトウェアを提供しております。
該当製品
このセクションには、該当製品に関する詳細が掲載されています。
脆弱性のある製品
この問題は、Cisco Easy VPNサーバのXauthバージョン6認証をサポートし、その認証が設定されているCisco IOSの未修正バージョンを実行しているすべてのシスコデバイスに影響を与えます。
Easy VPNサーバを実行し、Xauth認証用に設定されたシスコデバイスの設定には、次の行が含まれます。
crypto map <mapname> client authentication list <listname>
Easy VPNサーバのXAUTH機能は、次のような設定により、ISAKMPプロファイルの下でも有効にできます。
crypto isakmp profile <profilename>
match identity group <groupname>
client authentication list <listname>
isakmp authentication list <listname>
client configuration address respond
qos-group 2
シスコ製品で実行されているソフトウェアを確認するには、デバイスにログインし、「show version」コマンドを発行してシステムバナーを表示します。Cisco IOS ソフトウェアは「Internetwork Operating System Software」または単に「IOS」と表示されます。 出力の次の行では、イメージ名がカッコで囲まれて表示され、その後に「Version」とIOSリリース名が続きます。その他の Cisco デバイスには show version コマンドがないか、異なる出力が返されます。
次の例は、IOSリリース12.3(6)が稼働し、インストールされているイメージ名がC3640-I-Mであるシスコ製品を示しています。
Cisco Internetwork Operating System Software IOS (tm) 3600 Software (C3640-I-M), Version 12.3(6), RELEASE SOFTWARE (fc3)
次の例は、IOSリリース12.3(11)T3を実行し、イメージ名がC3845-ADVIPSERVICESK9-Mの製品を示しています。
Cisco IOS Software, 3800 Software (C3845-ADVIPSERVICESK9-M), Version 12.3(11)T3, RELEASE SOFTWARE (fc4) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2005 by Cisco Systems, Inc.
Cisco IOSリリースの命名に関する詳細については、http://www.cisco.com/warp/public/620/1.htmlを参照してください。
脆弱性を含んでいないことが確認された製品
Cisco Easy VPN ServerはIOSのみの機能です。IOSを実行していないデバイスには脆弱性は存在しません。
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
IPSecは、参加しているピア間でデータの機密性、データの整合性、およびデータ認証を提供するオープンスタンダードのフレームワークです。IPSecは、これらのセキュリティサービスをIP層で提供し、データを監視、変更、またはスプーフィングの恐れなしにパブリックネットワーク経由で送信できるようにします。これにより、バーチャルプライベートネットワーク(VPN)などのアプリケーションが可能になります。IPSecはインターネットキーエクスチェンジ(IKE)プロトコルを使用して、IPSecピアの認証、IPSecセキュリティアソシエーション(SA)のネゴシエート、およびIPSecキーの確立を行います。
拡張認証(XAUTH)は、期限切れのInternet Engineering Task Force(IETF;インターネット技術特別調査委員会)インターネットドラフトdraft-ietf-ipsec-isakmp-xauth-06.txtで定義されているIKEの拡張です。組織はこの拡張により、既存の従来の認証方式を使用してリモートアクセスを管理できます。
正常なVPN確立は、フェーズと呼ばれる2つのレベルのSAで構成されます。フェーズ1認証はセッションキーを確立します。Xauth機能を使用して、クライアントはIKEフェーズ1 SAが確立された後、「ユーザ名/パスワード」チャレンジを待ちます。エンドユーザがチャレンジに応答すると、その応答がIPsecピアに転送され、追加のレベルの認証が行われます。
IOS 12.2(8)Tで導入されたCisco IOS Easy VPN Server機能は、IOSデバイスがVPNコンセントレータとして機能し、ネットワークリソースへの認証と暗号化アクセスを提供できるようにします。
Cisco Easy VPN ServerのXAUTH機能が有効になっているかどうかを確認するには、デバイスの設定で次の行を確認します。
crypto map <mapname> client authentication list <listname>
Easy VPNサーバのXAUTH機能は、次のような設定により、ISAKMPプロファイルの下でも有効にできます。
crypto isakmp profile <profilename>
match identity group <groupname>
client authentication list <listname>
isakmp authentication list <listname>
client configuration address respond
qos-group 2
ユーザデータグラムプロトコル(UDP)ポート500でリッスンしているIOS Easy VPN Serverに送信される特定のパケットによって、不正なユーザがXauth認証を完了し、ネットワークリソースにアクセスできる可能性があります。
攻撃を成功させるには、Xauthネゴシエーションが行われる前に、攻撃者が共有グループキーを知ってIKEフェーズ1ネゴシエーションを完了する必要があります。
この不正なパケットに関する脆弱性は、Cisco Bug ID CSCin82407(登録済み)のお客様にのみ文書化されています。
2つ目の脆弱性は、IOS 12.3(8)Tで導入された機能に存在します。この機能では、ISAKMPプロファイルは、IKEネゴシエーション中にピアが使用する証明書に基づいてリモートアクセスピアに割り当てることができます。ISAKMPプロファイルでXAUTHが要求されている場合(プロファイルにAAA認証および許可リストが設定されている場合)、ピアはフェーズ1ネゴシエーションの後でXAUTH認証を実行する必要があります。
ISAKMPプロファイルが割り当てられているが、ISAKMPプロファイルで設定された属性が処理されない場合には、脆弱性が存在します。これにより、VPNクライアントとVPNサーバの両方が、接続の相手側から何かを受信することを期待している状況が発生する可能性があります。通常、このデッドロックは、アイドルタイマーによってSAが切断されることで解除されますが、この間に悪意のあるクライアントがフェーズ2ネゴシエーションを提案し、IPSec SAが完全に確立される可能性があります。
この問題は、証明書マップに一致するISAKMPプロファイルにのみ影響します。証明書マップが設定された設定には、次のコマンドが含まれます。
crypto isakmp profile <profilename>
match certificate <mapname>
この脆弱性は、Cisco Bug ID CSCeg00277(登録)のお客様にのみ文書化されています。
回避策
回避策の効果は、製品の組み合わせ、ネットワークトポロジ、トラフィックの動作、組織のミッションなど、特定の導入シナリオによって異なります。該当する製品とリリースは多岐に渡るので、サービス プロバイダーやサポート機関に連絡し、ネットワーク内で使用するのに最も適した回避策を確認してから、実際に配備することを推奨いたします。
強力なグループパスワードの使用
事前共有グループのパスワード(グループキーとも呼ばれます)は攻撃者が知っている必要があるため、強力な事前共有グループキーを展開するためのベストプラクティスを使用すると、このグループキーに対するブルートフォース攻撃を緩和できる可能性があります。
事前共有キーは、次の設定コマンドを使用して変更できます。
Router(config)#crypto isakmp client configuration group <group-name>
Router(config)#key <key>
修正済みソフトウェア
Cisco IOS ソフトウェアの表(下掲)の各行には、リリース トレインとそれに対応するプラットフォームまたは製品が記載されています。特定のリリース トレインに脆弱性がある場合は、修正を含む最初のリリース(「第 1 修正済みリリース」)とそれぞれの提供日が「リビルド」列と「メンテナンス」列に記載されます。特定の列に記されているリリースよりも古い(第 1 修正済みリリースより古い)トレインに含まれるリリースが稼働しているデバイスは脆弱であることが確認されています。このようなリリースは、少なくとも、示されているリリース以上(最初の修正リリース ラベル以上)にアップグレードしてする必要があります。
「リビルド」および「メンテナンス」という用語の詳細については、次のURLを参照してください。
http://www.cisco.com/warp/public/620/1.html
ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/en/US/products/products_security_advisories_listingも参照してください。後続のアドバイザリも参照して、問題の解決状況と完全なアップグレードソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報が不明な場合は、Cisco Technical Assistance Center(TAC)にお問い合わせください。
|
メジャー リリース |
修正済みリリースの入手可能性 |
|
|---|---|---|
|
該当する 12.2 ベースのリリース |
リビルド |
メンテナンス |
|
12.2B |
12.3(4)T8以降に移行 |
|
|
12.2BC |
12.2(15)BC1f |
|
|
12.2(15)BC2e |
||
|
12.2BX |
脆弱性あり、TACに連絡 |
|
|
12.2BY |
12.3(4)T8以降に移行 |
|
|
12.2BZ |
脆弱性あり、TACに連絡 |
|
|
12.2CX |
12.3(9a)BCに移行 |
|
|
12.2CY |
12.2(15)BC1fまたは12.2(15)BC2eに移行 |
|
|
12.2CZ |
12.2(15)CZ1 |
|
|
12.2JK |
12.2(15)JK2 |
|
|
12.2SU |
12.2(14)SU2 |
|
|
12.2SX |
12.2(17d)SXB5に移行 |
|
|
12.2SXA |
12.2(17d)SXB5に移行 |
|
|
12.2SXB |
12.2(17d)SXB5 |
|
|
12.2SXD |
12.2(18)SXD1 |
|
|
12.2SY |
12.2(17d)SXB5に移行 |
|
|
12.2T |
12.3以降に移行 |
|
|
12.2XJ |
12.3以降に移行 |
|
|
12.2XK |
12.3以降に移行 |
|
|
12.2XL |
12.3以降に移行 |
|
|
12.2XM |
12.3以降に移行 |
|
|
12.2XW |
12.3以降に移行 |
|
|
12.2XZ |
12.3以降に移行 |
|
|
12.2YA |
12.2(4)YA8 |
|
|
12.2YB |
12.3以降に移行 |
|
|
12.2YD |
12.3(8)T5以降に移行 |
|
|
12.2YF |
12.3以降に移行 |
|
|
12.2YG |
12.3以降に移行 |
|
|
12.2YH |
12.3以降に移行 |
|
|
12.2YJ |
12.3以降に移行 |
|
|
12.2YL |
12.3T以降に移行 |
|
|
12.2YM |
12.3T以降に移行 |
|
|
12.2YN |
12.3T以降に移行 |
|
|
12.2YP |
12.3以降に移行 |
|
|
12.2YQ |
12.3(4)T8以降に移行 |
|
|
12.2YR |
12.3(4)T8以降に移行 |
|
|
12.2YT |
12.3以降に移行 |
|
|
12.2YU |
12.3T以降に移行 |
|
|
12.2YV |
12.3(4)T8以降に移行 |
|
|
12.2YW |
12.3T以降に移行 |
|
|
12.2YX |
12.2(14)SU2以降に移行 |
|
|
12.2YY |
12.3T以降に移行 |
|
|
12.2ZB |
12.3T以降に移行 |
|
|
12.2ZC |
12.3T以降に移行 |
|
|
12.2ZD |
12.3(14)Tに移行 |
|
|
12.2ZE |
12.3以降に移行 |
|
|
12.2ZF |
12.3(4)T8以降に移行 |
|
|
12.2ZG |
12.3(4)T8以降に移行 |
|
|
12.2ZH |
12.2(13)ZH5 |
|
|
12.2ZJ |
12.3T以降に移行 |
|
|
12.2ZK |
contact TAC |
|
|
12.2ZL |
12.2(15)ZL2は未定 |
|
|
12.2ZN |
12.3T以降に移行 |
|
|
12.2ZP |
contact TAC |
|
|
該当する 12.3 ベースのリリース |
リビルド |
メンテナンス |
|
12.3 |
12.3(6e) |
|
|
12.3(9c) |
||
|
12.3(10a) |
||
|
12.3(12) |
||
|
12.3B |
12.3(5a)B3 |
|
|
12.3BC |
12.3(9a)BC |
|
|
12.3BW |
12.3(7)T6以降に移行 |
|
|
12.3T |
12.3(2)T9 |
|
|
12.3(4)T8 |
||
|
12.3(7)T7 |
||
|
12.3(8)T5 |
||
|
12.3(11)T2 |
||
|
12.3(14)T |
||
|
12.3XA |
12.3(2)XA3は未定 |
|
|
12.3XB |
12.3(8)T5以降に移行 |
|
|
12.3XC |
12.3(2)XC3は未定 |
|
|
12.3XD |
12.3(4)XD4 |
|
|
12.3XE |
12.3(2)XE1 |
|
|
12.3XF |
12.3(11)T2以降に移行 |
|
|
12.3XG |
12.3(4)XG2 |
|
|
12.3XH |
12.3(11)T2以降に移行 |
|
|
12.3XI |
contact TAC |
|
|
12.3XJ |
contact TAC |
|
|
12.3XK |
12.3(11)T2以降に移行 |
|
|
12.3XL |
12.3(11)XL |
|
|
12.3XM |
12.3(14)T以降に移行 |
|
|
12.3XN |
12.3(14)T以降に移行 |
|
|
12.3XQ |
12.3(4)XQ1 |
|
|
12.3XR |
12.3(7)XR3 |
|
|
12.3XS |
12.3(7)XS2 |
|
|
12.3XT |
contact TAC |
|
|
12.3XU |
12.3(8)XU3 |
|
|
12.3XW |
contact TAC |
|
|
12.3XX |
12.3(8)XX1 |
|
|
12.3XY |
12.3(14)Tに移行 |
|
|
12.3YA |
12.3(8)YA1 |
|
|
12.3YC |
12.3(8)YC1 |
|
|
12.3YD |
12.3(8)YD |
|
|
12.3YF |
12.3(11)YF |
|
|
12.3YG |
12.3(8)YG1 |
|
|
12.3YH |
12.3(8)YH |
|
|
12.3YI |
12.3(8)YI未定 |
|
|
12.3YJ |
12.3(11)YJ |
|
|
12.3YK |
12.3(11)YK |
|
推奨事項
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。
これらの脆弱性はシスコのお客様から報告されたものです
URL
改訂履歴
|
リビジョン 1.0 |
2005年4月6日 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。