High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco VPN 3000シリーズコンセントレータは、File Transfer Protocol(FTP;ファイル転送プロトコル)によるファイル管理がイネーブルになっている場合に、2つの脆弱性の影響を受けます。この脆弱性により、認証されている攻撃者または認証されていない攻撃者が、コンセントレータで特定のFTPコマンドを実行し、ファイルを削除できる可能性があります。
いずれの脆弱性でも、権限のないユーザがコンセントレータとの間でファイルを転送することはできません。
Cisco では、該当するお客様用に、これらの脆弱性に対応する無償ソフトウェアを提供しております。これらの脆弱性を軽減する回避策もあります。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20060823-vpn3k で公開されています。
該当製品
脆弱性のある製品
Cisco VPN 3000シリーズコンセントレータ3005、3015、3020、3030、3060、および3080では、脆弱性のあるソフトウェアバージョンを実行していて、コンセントレータが管理プロトコルとしてFTPを使用するように設定されている場合、これらの脆弱性の影響を受けます。管理プロトコルとしてのFTPはデフォルトで有効になっています。
脆弱性のあるソフトウェアバージョンは次のとおりです。
-
4.1より前のバージョン
-
4.1(7)L以前の4.1.xバージョン
-
4.7(2)F以前の4.7.xバージョン
FTPプロトコルがファイル管理プロトコルとして有効になっているかどうかは、Web GUIを使用する方法と、コンソール、Telnet、またはセキュアシェル(SSH)接続を介してコマンドラインインターフェイス(CLI)を使用する方法の2通りの方法で確認できます。
GUIを使用してFTPプロトコルがファイル管理プロトコルとして有効になっているかどうかを確認するには、次のURLを使用してコンセントレータのWeb管理インターフェイスに接続します。
https://<コンセントレータのIPアドレス>/admin/
次に、デバイス管理者クレデンシャルを使用してコンセントレータにログインし、「Configuration | システム | 管理プロトコル | FTP」を使用します。この画面には、コンセントレータのFTPサーバが有効になっているかどうかが示されます。
CLIを使用して同じことを行うには、選択したアクセス方法(コンソール、Telnet、またはSSH)を使用してコンセントレータにログインし、同じ画面に移動します(「Configuration -> System Management -> Management Protocols -> Configure FTP」)。プロンプトには、FTPサーバが有効になっているかどうかが番号で示されます。
脆弱性を含んでいないことが確認された製品
Cisco VPN 3002 Hardware Clientは、これらの脆弱性の影響を受けません。
FTPが管理プロトコルとして設定されていない場合、Cisco VPN 3000シリーズコンセントレータはこれらの脆弱性の影響を受けないことに注意してください。
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
Cisco VPN 3000シリーズコンセントレータは、データの暗号化と認証用の専用リモートアクセスVirtual Private Network(VPN;バーチャルプライベートネットワーク)プラットフォームファミリです。
File Transfer Protocol(FTP;ファイル転送プロトコル)は、TCP/IPホスト間でのファイル転送を可能にするアプリケーション層プロトコルです。トランスポートプロトコルとしてTransmission Control Protocol(TCP;伝送制御プロトコル)を使用し、ユーザ認証をサポートします。
Cisco VPN 3000シリーズコンセントレータは、FTPプロトコルを使用して、コンフィギュレーションファイルや証明書など、コンセントレータに格納されているファイルを管理するように設定できます。ファイルは、バックアップおよび設定の目的でコンセントレータにアップロードしたり、コンセントレータからダウンロードしたりできます。
Cisco VPN 3000シリーズコンセントレータでファイル管理プロトコルとしてFTPが有効になっている場合、2つの脆弱性が影響を与えます。これらの脆弱性を不正利用することで、攻撃者は次のFTPコマンドを実行する可能性があります。
-
CWD – 作業ディレクトリの変更
-
MKD – ディレクトリの作成
-
CDUP – ディレクトリを1レベル上のディレクトリに変更します。
-
RNFR – ファイル名の変更
-
SIZE – ファイルサイズを取得する
-
RMD – ディレクトリの削除
これらの脆弱性は、Cisco Bug ID CSCse10733(登録ユーザ専用)およびCSCse10753(登録ユーザ専用)に記載されています。
これらの脆弱性のいずれも、権限のないユーザによるコンセントレータへのファイルのダウンロードやアップロードを許可するものではありません。
回避策
このセクションでは、これらの脆弱性の回避策について説明します。
FTPの無効化
VPN 3000コンセントレータの管理にFTPが必要ない場合は、ネットワークセキュリティのベストプラクティスに従って、FTPを無効にすることをお勧めします。これにより、脆弱性が完全に排除されます。FTPに代わる安全な方法としては、Secure Hyper-Text Transfer Protocol(HTTPS)やSecure Shell(SSH)経由のSecure Copy(SCP)などがあります。
管理プロトコルとしてのFTPの使用は、URL経由でコンセントレータのWeb管理インターフェイスに接続することで無効にできます。
https://<コンセントレータのIPアドレス>/admin/
デバイス管理者のクレデンシャルを使用してコンセントレータにログインし、「Configuration | システム | 管理プロトコル | FTPを有効にし、[有効]チェックボックスをオフにします。
FTPアクセスの制限
既知の信頼できるIPアドレスからのリモートFTP管理接続のみを許可することで、コンセントレータの露出を制限することができます。これは、ネットワークセキュリティのベストプラクティスとも見なされます。
VPN 3000シリーズコンセントレータでは、ルールとフィルタを定義することで、特定のIPアドレスへのFTPアクセスを制限できます。トラフィックフィルタは、インターフェイス、LAN-to-LANトンネル、およびVPNグループにマッピングできます。トラフィックルールとフィルタは、GUIの「Configuration | ポリシー マネジメント | Traffic Management」を参照してください。
特定のIPアドレスからのFTPアクセスのみを許可するには、少なくとも2つのトラフィックルールを定義する必要があります。最初のルールでは、特定の信頼できるIPアドレスまたはIPサブネットからのFTPトラフィックを許可します。2番目のルールは、プライベートインターフェイス宛ての他のすべてのFTPトラフィックを拒否します。
最初のルールのパラメータは次のようになります。
-
ルール名:permit_ftp_in
-
方向:インバウンド
-
アクション:転送
-
プロトコル:TCP
-
Source Address/Wildcard-mask: <許可されるIPアドレスの範囲>
-
宛先アドレス/ワイルドカードマスク:<プライベートインターフェイスのIPアドレス>/0.0.0.0
-
TCP/UDP送信元ポート:範囲0 ~ 65535
-
TCP/UDP宛先ポート:FTP(21)
このルールは、着信TCPポート21(FTP)トラフィックを許可しますが、そのトラフィックが特定のIPアドレス範囲から発信されている場合に限ります。
2番目のルールのパラメータは次のようになります。
-
ルール名:deny_ftp_in
-
方向:インバウンド
-
アクション:ドロップとログ
-
プロトコル:TCP
-
送信元アドレス/ワイルドカードマスク:0.0.0.0/255.255.255.255
-
宛先アドレス/ワイルドカードマスク:<プライベートインターフェイスのIPアドレス>/0.0.0.0
-
TCP/UDP送信元ポート:範囲0 ~ 65535
-
TCP/UDP宛先ポート:FTP(21)
このルールは、プライベートインターフェイスのIPアドレス宛てのすべての着信TCPポート21(FTP)トラフィックをドロップしてログに記録します。
注:新しいルールがフィルタに追加されると、フィルタ内の既存のルールのリストの一番下に新しいルールが追加されます。コンセントレータはフィルタ内のルールを順番に処理するため、リストの一番下にすべてのトラフィックを許可するルールがある場合(事前定義された「プライベート」フィルタがデフォルトでプライベートインターフェイスに適用されている場合)、新しいルールは実行されません。このため、信頼できるアドレスからのFTPトラフィックのみを許可する新しいルールを、ルールのリストの先頭に移動することが重要です。
トラフィックルールが作成されたら、GUI画面の「Configuration | ポリシー マネジメント | トラフィック管理 | Filters」を選択し、リストから目的のフィルタを選択し、「Assign Rules to Filter」ボタンをクリックしてから、新しいフィルタルールを選択して「<<追加」ボタンをクリックします。
不正なFTPトラフィックからVPN 3000コンセントレータを完全に保護するには、新しいトラフィックルールを含むフィルタを次のものに適用する必要があります。
-
インターフェイス:GUI画面の「Configuration | Interfaces」を選択し、インターフェイス名をクリックしてから、「General」タブでフィルタを選択します。
デフォルトでは、定義済みフィルタ「Private」がPrivateインターフェイスに適用され、定義済みフィルタ「Public」が「Public」インターフェイスに適用されます。「プライベート」フィルタは非常に緩やかなフィルタであり、FTP管理トラフィックを制限する上記のルールをこのフィルタに追加することを推奨します。「Public」フィルタはデフォルトではFTPトラフィックを許可しません。FTPトラフィックを許可する変更が行われている場合は、前述のように、特定のIPアドレスからコンセントレータへのFTPトラフィックのみを許可するルールを追加することを推奨します。
-
LAN-to-LANトンネル:GUI画面の「Configuration | トンネリングとセキュリティ | IPSec | LAN-to-LAN」を選択し、「Modify」ボタンをクリックしてから、「Modify an IPSec LAN-to-LAN connection」画面で特定のフィルタを選択します。デフォルトでは、LAN-to-LAN接続に適用されるフィルタはありません。
-
アクセスVPNトンネルの削除:GUI画面の「Configuration | ユーザ マネジメント | Groups」を選択し、VPNグループを選択して「Modify Group」ボタンをクリックし、次に「Modify Group」画面の「General」タブで特定のフィルタを選択します。デフォルトでは、VPNグループに適用されるフィルタはありません。
インターフェイス(LAN-to-LANトンネル、およびVPNグループ)に適用されるフィルタにこの2つのトラフィックルールを追加すると、IPアドレスの場所(内部ネットワークやVPNトンネルなど)に関係なく、特定の信頼できるIPアドレスからのトラフィックだけがコンセントレータで許可されます。他の場所からコンセントレータに向けられたFTPトラフィックはドロップされ、ログに記録されます。他のすべてのFTPトラフィックは、これらのルールの影響を受けません。
各インターフェイスとVPNトンネルに複数のフィルタを定義しない場合は、上記の2つのトラフィックルールをデフォルトの「プライベート」フィルタに追加し、このフィルタをプライベートインターフェイス、LAN-to-LAN接続、およびリモートアクセスVPNグループに適用できます。
「アクセスコントロールリスト」機能(「管理」)を使用していることに注意してください。 | アクセス権 | Access Control List』で説明されているように、FTPアクセスを制御することによってこれらの脆弱性は保護されません。有効なIPアドレスのチェックは認証時に行われ、このドキュメントで説明されている実際の脆弱性は認証前に行われるためです。
VPN 3000コンセントレータ自体に実装できるアクセス制御メカニズムに加えて、VPN 3000コンセントレータへのFTPアクセスは、信頼ネットワークへのすべてのアクセスを制御するスクリーニングルータ、スイッチ、およびファイアウォールのインフラストラクチャアクセス制御リスト(ACL)の一部としてブロックできます。インフラストラクチャ ACL はネットワーク セキュリティのベスト プラクティスと考えられており、ここでの特定の脆弱性の回避策としてだけでなく、優れたネットワーク セキュリティへの長期的な付加機能として考慮する必要があります。ホワイトペーパー『Protecting Your Core: Infrastructure Protection Access Control Lists(コアの保護:インフラストラクチャ保護ACL)』には、次のガイドラインと推奨される導入方法が記載されています。
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_white_paper09186a00801a1a55.shtml
設定と証明書のバックアップ
コンセントレータのファイルシステムの外部にある、コンセントレータの設定および証明書のバックアップコピーを常に保持します。
設定ファイルの管理は、GUI画面の「Administration | File Management」というエラーメッセージが表示されます。詳細については、『VPN 3000シリーズコンセントレータリファレンス、ボリュームII』の「ファイル管理」セクションを参照してください。
http://www.cisco.com/en/US/docs/security/vpn3000/vpn3000_47/administration/guide/fileman.html
証明書の管理は、GUI画面の「Administration | Certificate Management」というエラーメッセージが表示されます。詳細については、『VPN 3000シリーズコンセントレータリファレンス、ボリュームII』の「証明書管理」セクションを参照してください。
http://www.cisco.com/en/US/docs/security/vpn3000/vpn3000_47/administration/guide/certman.html
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
どちらの脆弱性も、VPN 3000シリーズコンセントレータソフトウェアのバージョン4.1(7)Mおよび4.7(2)Gで修正されています。
Cisco VPN 3000シリーズコンセントレータソフトウェアの修正済みバージョンは、次の場所からダウンロードできます。
http://www.cisco.com/pcgi-bin/tablebuild.pl/vpn3000-3des?psrtdcat20e2(登録ユーザのみ)
推奨事項
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。
この脆弱性は、NCC Group(http://www.nccgroup.com)によってシスコに報告されました。シスコは、この脆弱性を報告し、この問題の解決に向けて協力してくださったNCCグループに感謝いたします。
URL
改訂履歴
|
リビジョン 1.0 |
2006年8月23日 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。