シスコファイアウォール製品における意図しないパスワード変更の脆弱性

Cisco PIX 500シリーズセキュリティアプライアンス、Cisco ASA 5500シリーズ適応型セキュリティアプライアンス(ASA)、およびファイアウォールサービスモジュール(FWSM)用のソフトウェアの特定のバージョンは、EXECパスワード、ローカルで定義されたユーザ名のパスワード、およびスタートアップコンフィギュレーションのイネーブルパスワードをユーザの介入なしに変更する可能性のあるソフトウェアの不具合の影響を受けます。

権限のないユーザは、このバグを利用して、スタートアップコンフィギュレーションのパスワードが変更された後にリロードされたデバイスへのアクセスを試みることができます。また、権限を持つユーザがロックアウトされ、影響を受けるデバイスを管理できなくなる可能性があります。

Cisco では、該当するお客様用に、この問題に対応するソフトウェアを無償で提供しております。

このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20060823-firewall で公開されています。

Cisco PIX 500シリーズセキュリティアプライアンス、Cisco ASA 5500シリーズ適応型セキュリティアプライアンス、およびCisco Catalyst 6500スイッチとCisco 7600シリーズルータ用のファイアウォールサービスモジュール(FWSM)は、シスコのセキュリティポートフォリオの一部です。これらの製品はすべて、ステートフルパケットフィルタリングとディープパケットインスペクションを備えたファイアウォールサービスを提供します。PIXおよびASAデバイスは、バーチャルプライベートネットワーク(VPN)、コンテンツフィルタリング、侵入防御などの他のサービスも提供します。

これらのデバイスでは、EXECモードとイネーブルモードの認証は、認証、許可、アカウンティング(AAA)方式（Remote Authentication Dial-In User Service [RADIUS]、Terminal Access Controller Access Control System Plus [TACACS+]、またはLOCAL）に基づいて実行できます。デバイスにAAA方式（RADIUS、TACACS+、またはLOCAL）が設定されていない場合、EXECモードの認証はpasswdコマンドで設定されたパスワードを使用して実行され、イネーブルモードの認証はenable passwordコマンドで設定されたパスワードを使用して実行されます。

これらのデバイスで使用されるソフトウェアの特定のバージョンにはソフトウェアの不具合があり、場合によっては、EXECパスワード、ローカルに定義されたユーザのパスワード、およびスタートアップコンフィギュレーションに保存されているイネーブルパスワードが、ユーザの介入なしに変更される可能性があります。スタートアップコンフィギュレーションは、フラッシュメモリなどの不揮発性メディアに保存されます。

影響を受けるパスワードは、次の設定コマンドを使用して設定します。

• passwd:EXECパスワードを設定します。例：
  

  pix(config)# passwd xxxxxxxxx

• username：ローカルユーザと関連パスワードを設定します。例：
  

  pix(config)# username admin password xxxxxxxx

• enable password:enableモードへの移行に使用するパスワードを設定します。例：
  

  pix(config)# enable password xxxxxxxx

このソフトウェアの不具合は、次の2つのシナリオだけで引き起こされることが確認されています。

• ソフトウェアのクラッシュ。通常はソフトウェアのバグが原因です。すべてのソフトウェアのクラッシュが原因で、上記の望ましくない結果が発生するとは限らないことに注意してください。
  
  
• デバイスへのアクセスに使用する方法（コマンドラインインターフェイス[CLI]、Adaptive Security Device Manager [ASDM]、Firewall Management Centerなど）に関係なく、デバイスで同時に設定変更を行う2人以上のユーザ。
  
  スタートアップコンフィギュレーションのパスワードは、コンフィギュレーションの保存時に、write memoryコマンドまたはcopy running-config startup-configコマンドを使用して、スタートアップコンフィギュレーションが保存されている不揮発性メディアに変更されることに注意してください。通常の動作中に実行コンフィギュレーションが保存されないと、スタートアップコンフィギュレーションのパスワードは変更されません。
  

スタートアップコンフィギュレーションのパスワードが変更されると、EXECおよびイネーブル権限の認証がスタートアップコンフィギュレーションに保存されているパスワードまたはローカルアカウントに依存している場合、管理者は次回のデバイスのリロード後にロックアウトされます。AAAサーバ（RADIUSまたはTACACS+）が認証に使用されている場合、aaa authentication enable console RADIUS LOCALのように「LOCAL」認証方式がフォールバックとして設定されているかどうかにかかわらず、スタートアップコンフィギュレーションのパスワードを変更しても、AAAサーバが使用できない場合にのみ望ましくない結果が生じます。

パスワードはランダムでない値に変更されます。この動作は、ハードコードされたデフォルトパスワードや、明示的に誘発されたその他のパスワード値のセットが原因ではなく、設定の解析に関連するコーディングエラーの結果として発生します。

マルチコンテキストモードで設定されているデバイスも、このソフトウェアの不具合の影響を受けます。

この問題は、次のCisco Bug IDに記述されています。

• PIXおよびASAデバイス用のCSCse02703(登録ユーザ専用)
  
• FWSMのCSCsd81487(登録ユーザ専用)
  

ネットワークセキュリティのベストプラクティスに従って外部RADIUS/TACACS+サーバに対する認証を設定することで、この問題は軽減されます。認証の設定方法については、次のURLを参照してください。

PIX/ASA:http://www.cisco.com/en/US/products/ps6120/products_configuration_guide_chapter09186a00804512a5.html

FWSM:http://www.cisco.com/en/US/products/hw/switches/ps708/products_module_configuration_guide_chapter09186a0080577bde.html

ソフトウェアクラッシュや同時設定アップデートの結果として、スタートアップコンフィギュレーションのパスワードが変更された場合、外部AAA認証が設定されていなければ、管理者はパスワード回復手順を実行する必要があります。

PIXおよびASAのパスワード回復手順については、次のURLを参照してください。

http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_password_recovery09186a008009478b.shtml

FWSMのパスワード回復手順については、次のURLを参照してください。

http://www.cisco.com/en/US/products/hw/switches/ps708/products_module_configuration_guide_chapter09186a0080577c75.html#wp1049302

さらに、既知の信頼できるIPアドレスからのリモート接続のみを許可することで、ファイアウォールデバイスの露出を制限できます。これは、Secure Shell(SSH)、Telnet、およびSecure Hyper-Text Transfer Protocol(HTTPS)アクセス用のssh、telnet、およびhttpコマンドによってそれぞれ実行されます。詳細については、次のURLにある『CiscoセキュリティアプライアンスCLIコンフィギュレーションガイド』の「システムアクセスの管理」セクションを参照してください。

http://www.cisco.com/en/US/products/ps6120/products_configuration_guide_chapter09186a0080450d39.html

FWSMの場合は、FWSMブレードをホストするCisco Catalyst 6500スイッチまたはCisco 7600シリーズルータ経由でもリモートアクセスが可能であることに注意してください。このため、アクセスコントロールリストを使用してスイッチまたはルータを設定し、既知の信頼できるIPアドレスからのリモート接続のみを許可する必要があります。

アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center（TAC）または契約を結んでいるメンテナンス プロバイダーにお問い合せください。

PIX/ASAソフトウェアのバージョン7.0.xでは、最初の修正リリースは7.0(5.1)です。PIX用の最新の7.0.xリリースは、次の場所からダウンロードできます。

http://www.cisco.com/pcgi-bin/tablebuild.pl/pix?psrtdcat20e2（登録ユーザのみ）

ASA用の最新の7.0.xリリースは、次の場所からダウンロードできます。

http://www.cisco.com/pcgi-bin/tablebuild.pl/asa?psrtdcat20e2（登録ユーザのみ）

PIX/ASAソフトウェアバージョン7.1.xでは、最初の修正リリースは7.1(2.5)です。PIX用の最新の7.1.x暫定は、次の場所からダウンロードできます。

http://www.cisco.com/pcgi-bin/tablebuild.pl/pix-interim?psrtdcat20e2（登録ユーザのみ）

ASAの最新の7.1.x暫定は、次の場所からダウンロードできます。

http://www.cisco.com/pcgi-bin/tablebuild.pl/asa-interim?psrtdcat20e2（登録ユーザのみ）

FWSMの最初の修正済みリリースは3.1(2)です。FWSMソフトウェアの最新の3.1リリースは、次の場所からダウンロードできます。

http://www.cisco.com/pcgi-bin/tablebuild.pl/cat6000-fwsm?psrtdcat20e2（登録ユーザのみ）

注：暫定イメージは完全に回帰テストされていません。個々の修正は単体テスト済みです。また、機能のベースラインを確認するために、イメージの自動回帰テストの数は限られています。実稼働環境でテストを実行する場合は、このテストステータスを念頭に置いてください。完全にテストされたメンテナンスリリースまたは機能リリースが入手可能になった時点で、そのリリースにアップグレードすることを強く推奨します。

Cisco PSIRTでは、このアドバイザリに記載されている問題の不正利用事例とその公表は確認しておりませんが、一部のお客様においてはこのソフトウェアの不具合の影響を受けているという事実を認識しております。

この問題は、Helse Nord IKTのTerje Bless氏によってシスコに報告されました。シスコは、本件に関する情報公開にご協力いただいたことに対し、同氏に感謝いたします。