PIX および ASA アプライアンスでの LDAP および VPN の脆弱性

ダウンロード オプション

  • PDF     (415.5 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (82.7 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (70.8 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2007 年 5 月 2 日
Document ID:null-null

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

High

High

アドバイザリーID : cisco-sa-20070502-asa
初公開日 : 2007-05-02 16:00
バージョン 1.1 : Final
CVSSスコア : 8.0
回避策 : No Workarounds available
Cisco バグ ID :
 

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

概要

Cisco Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)および PIX セキュリティ アプライアンスには、複数の脆弱性が存在します。これらの脆弱性の中には、Lightweight Directory Access Protocol(LDAP)認証のバイパスに関する 2 つの脆弱性と、Denial of service(DoS; サービス拒否)に関する 2 つの脆弱性が含まれます。

LDAP 認証バイパスの脆弱性は、LDAP 認証サーバを使用するように設定されているデバイスが実行する特定の処理手順によって発生します。これらの脆弱性により、認証を受けていないユーザが内部ネットワークまたはデバイス自体にアクセスできる可能性があります。

DoS に関する 2 つの脆弱性は、デバイスが Virtual Private Network(VPN; バーチャル プライベート ネットワーク)を終了するときに発生する可能性があります。これらの DoS 脆弱性が攻撃者に悪用されると、VPN ユーザの接続が切断されたり、新しい接続が妨げられたり、デバイスがトラフィックを送信できなくなったりする可能性があります。

これらの脆弱性は、認証、IPSec VPN、および SSL VPN のコードに分散しています。このアドバイザリでは、次の不具合に分類して説明を行います。

  • LDAP 認証バイパス
  • パスワード期限が設定された VPN でのサービス拒否
  • SSL VPN でのサービス拒否

Cisco では、該当するお客様用に、これらの脆弱性に対応する無償ソフトウェアを提供しております。

このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20070502-asa で公開されています。

該当製品

脆弱性のある製品

ソフトウェア バージョン 7.1 および 7.2 が稼働している Cisco ASA および PIX セキュリティ アプライアンスは、脆弱である可能性があります。特定の脆弱性に該当するバージョンであるかどうかを確認するには、次の表を参照してください。

脆弱性

該当するソフトウェア バージョン

LDAP 認証バイパス

7.2(2)8 より前の 7.2 バージョン

パスワード期限が設定された VPN でのサービス拒否

7.1(2)49 より前の 7.1 バージョン

7.2(2)17 より前の 7.2 バージョン

SSL VPN でのサービス拒否

7.1(2)49 より前の 7.1 バージョン

7.2(2)19 より前の 7.2 バージョン

デバイスで実行されている Cisco ASA または PIX システム ソフトウェアのバージョンを確認するには、デバイスの Command Line Interface(CLI; コマンドライン インターフェイス)にログインして、show version コマンドを発行します。ソフトウェア リリース 7.2(2)10 が稼働している ASA の例を次に示します。

ciscoasa#show version

Cisco Adaptive Security Appliance Software Version 7.2(2)10

Cisco Adaptive Security Device Manager(ASDM)を使用してデバイスを管理している場合は、アプリケーションにログインすると、ログイン ウィンドウの表または ASDM ウィンドウの左上隅に、次のようなラベルでバージョンが表示されます。

PIX Version 7.2(2)10

該当するソフトウェア バージョンが稼働している Cisco ASA および PIX セキュリティ アプライアンスは、次のいずれかの設定を実行している場合にのみ脆弱です。

LDAP 認証バイパスの脆弱性

Cisco PIX または ASA デバイスが脆弱になるケースとしては、次の 2 つの設定シナリオが存在します。

  • Layer 2 Tunneling Protocol(L2TP; レイヤ 2 トンネリング プロトコル)
    LDAP 認証サーバを使用し、PAP 以外の認証プロトコルを使用するように設定されているデバイスは、脆弱である可能性があります。設定における LDAP サーバーの指定は、CLI コマンド aaa-server ldap server host <ip address> を使用して行います。認証プロトコルの指定は、設定の tunnel-group <tunnel-group> ppp-attributes セクション内で authentication <protocol> コマンドを使用して行います。
    脆弱なデバイスにおいて、この脆弱性に関連する設定セグメントを次に示します。次の設定例では、認証サーバは LDAP と指定され、認証プロトコルは ms-chap-v2 と指定されています。
    aaa-server ldap_server protocol ldap
aaa-server ldap_server host 192.168.1.100
 timeout 5
 ldap-scope onelevel

tunnel-group example_l2tp_group general-attributes
 address-pool inside_addresses
 authentication-server-group ldap_server

tunnel-group example_l2tp_group ppp-attributes
 authentication ms-chap-v2
  • リモート管理アクセス
    リモート管理アクセス(telnet、SSH、HTTP)を許可し、クレデンシャルの検証に LDAP Authentication, Authorization, Accounting(AAA; 認証、認可、アカウンティング)サーバを使用するように設定されているデバイスは、脆弱である可能性があります。
    LDAP サーバは、設定ファイル内の aaa-server <server_group> protocol ldap コマンドの server_group として定義されています。リモート管理アクセス用のLDAP認証サーバは、aaa authentication {telnet | SSH | http | serial}コンソールserver_groupに設定します。
    脆弱なデバイスにおいて、この脆弱性に関連する設定セグメントを次に示します。認証サーバが LDAP として指定され、SSH に対するリモート管理アクセスが許可されていて、定義済みの LDAP AAA サーバによってクレデンシャルが検査されるようになっています。
    ssh 192.168.1.2 255.255.255.255 inside

aaa-server ldap_server protocol ldap
aaa-server ldap_server host 192.168.1.100
 timeout 5
 ldap-scope onelevel
aaa authentication ssh console ldap_server

パスワード期限が設定された VPN でのサービス拒否

次の例に示すように、password-management コマンドが tunnel-group セクションにある場合、そのデバイスはこの脆弱性の対象になる可能性があります。

tunnel-group example_group general-attributes
 address-pool inside_addresses
 default-group-policy example_group
 password-management
tunnel-group example_group general-attributes
 address-pool inside_addresses
 default-group-policy example_group
 password-management password-expire-in-days 30

SSL VPN でのサービス拒否

インターフェイスでクラスレス SSL VPN が有効になっているデバイスは、この脆弱性に該当します。

クライアントレス SSL VPN が有効なデバイスの実行コンフィギュレーションには webvpn セクションが含まれます。このエントリは次のようなものです。 

webvpn
 enable outside
 url-list ServerList "WSHAWLAP" cifs://10.2.2.2 1
 url-list ServerList "FOCUS_SRV_1" https://10.2.2.3 2
 url-list ServerList "FOCUS_SRV_2" http://10.2.2.4 3

脆弱性を含んでいないことが確認された製品

Firewall Services Module(FWSM)は、このアドバイザリで説明されているどの脆弱性の影響も受けません。

Cisco ASA および PIX セキュリティ アプライアンスは、次の条件が満たされている場合、これらの脆弱性には該当しません。

L2TP セッションの LDAP 認証バイパス

次の条件が満たされている ASA および PIX セキュリティ アプライアンスは、この脆弱性には該当しません。

  • L2TP over IPSec を使用するように設定され、LDAP 以外の認証サーバを使用するように設定されているデバイス
  • L2TP over IPSec を使用するように設定され、PAP を実行する LDAP 認証サーバを使用するように設定されているデバイス
  • リモート管理セッションの認証に LDAP 以外の AAA サーバまたはローカル データベースを使用するデバイス

パスワード期限が設定された VPN でのサービス拒否

パスワード期限のあるリモート アクセス トンネル グループが設定されていないデバイスは、この脆弱性に該当する可能性はありません。

SSL VPN でのサービス拒否

クライアントレス SSL VPN 接続をサポートするように設定されていないデバイスは、この脆弱性に該当する可能性はありません。PIX セキュリティ アプライアンスはクライアントレス SSL VPN 接続をサポートしないので、脆弱ではありません。

詳細

PIX はファイアウォール アプライアンスであり、ユーザ ポリシーやアプリケーション ポリシーを適用し、複数の手段でシステムを保護し、安全な接続サービスを提供します。

ASA は、セキュリティ サービスと VPN サービスを備えたモジュール式プラットフォームです。ASA は、ファイアウォール、Intrusion Prevention System(IPS; 侵入防御システム)、anti-X、および VPN サービスを提供します。

LDAP 認証バイパス

L2TP IPSec トンネルまたはリモート管理セッションの終端の認証に LDAP AAA サーバを利用する Cisco ASA および PIX デバイスは、認証バイパス攻撃に対して脆弱になる場合があります。詳細については、次の説明を参照してください。

  • Layer 2 Tunneling Protocol(L2TP; レイヤ 2 トンネリング プロトコル)
    L2TP IPSec トンネルを終端するデバイスは、CHAP、MS-CHAPv1、または MS-CHAPv2 の認証プロトコルとともに LDAP を使用するように設定されている場合、脆弱になります。PAP と組み合せて LDAP を使用しているデバイスは、LDAP L2TP 認証バイパスに対して脆弱ではありません。
  • リモート管理アクセス
    管理セッション(telnet、SSH、および HTTP)の認証に LDAP AAA サーバを利用する Cisco ASA および PIX デバイスは、認証バイパス攻撃に対して脆弱になる場合があります。管理セッション用のアクセスは、明示的に有効にする必要があり、デバイスの設定で定義されている接続元 IP アドレスに限定されます。

この脆弱性は、Bug ID CSCsh42793(登録ユーザ専用)に記載されています。

パスワード期限が設定された VPN でのサービス拒否

リモート アクセス VPN 接続を終端する Cisco ASA および PIX デバイスは、トンネル グループにパスワード期限が設定されている場合、DoS 攻撃に対して脆弱になる可能性があります。IPSec VPN 接続においてこの脆弱性を悪用するには、グループ名とグループ パスワードを知っている必要があります。SSL VPN 接続の場合はこの情報を知っている必要はありません。攻撃に成功すると、デバイスのリロードが発生する可能性があります。

この脆弱性は、ソフトウェアバグCSCsh81111(登録ユーザ専用)に記載されています。

SSL VPN でのサービス拒否

クライアントレス SSL VPN を使用する Cisco ASA は、SSL VPN HTTP サーバ経由でのサービス拒否攻撃に対して脆弱です。攻撃が成功するためには非標準 SSL セッションでの競合状態を悪用する必要があり、攻撃が成功するとデバイスのリロードが発生する可能性があります。

詳細は、Bug CSCsi16248(登録ユーザ専用)を参照してください。

脆弱性スコア評価の詳細

Cisco では、Common Vulnerability Scoring System(CVSS)に基づき、このアドバイザリで説明されている脆弱性のスコアを評価しました。

Cisco では基本スコアと現状スコアを評価します。お客様はこれらを用いて環境評価スコア (Environmental Score) を算出し、個々のネットワークにおける脆弱性の影響度を導き出すことができます。

Cisco PSIRT は、すべてのケースにおける重みを「標準」に設定します。特定の脆弱性の環境的影響を判断する際には、重みパラメータを適用することを推奨します。

CVSS は、脆弱性の重大度を伝える標準ベースのスコア評価方式であり、対応の緊急度や優先度を判断するのに役立ちます。

シスコは、http://www.cisco.com/web/about/security/intelligence/cvss-qandas.htmlでCVSSに関するFAQを提供しています。

また、シスコは個々のネットワークにおける環境影響度を計算するCVSS計算ツールをhttps://sec.cloudapps.cisco.com/security/center/cvssCalculator.x で提供しています。

L2TP セッションの LDAP 認証バイパス

環境スコアを計算する 0.CSCsh42793

CVSS 基本スコア:8

攻撃元区分

攻撃条件の複雑さ

[Authentication]

機密性への影響

完全性への影響

可用性への影響

影響の重み

Remote

不要

完了

完了

完了

Normal

CVSS 現状スコア - 6.6

攻撃される可能性

利用可能な対策のレベル

Report Confidence

機能する

Official-Fix

確認済

パスワード期限が設定された VPN でのサービス拒否

環境スコアを計算する 0.CSCsh81111

CVSS 基本スコア:3.3

攻撃元区分

攻撃条件の複雑さ

[Authentication]

機密性への影響

完全性への影響

可用性への影響

影響の重み

Remote

低い

不要

なし

なし

完了

Normal

CVSS 現状スコア - 2.7

攻撃される可能性

利用可能な対策のレベル

Report Confidence

機能する

Official-Fix

確認済

SSL VPN でのサービス拒否

環境スコアを計算する 0.CSCsi16248

CVSS 基本スコア:3.3

攻撃元区分

攻撃条件の複雑さ

[Authentication]

機密性への影響

完全性への影響

可用性への影響

影響の重み

Remote

低い

不要

なし

なし

完了

Normal

CVSS 現状スコア - 2.7

攻撃される可能性

利用可能な対策のレベル

Report Confidence

機能する

Official-Fix

確認済

回避策

このセクションこでは、一部の環境において役立つ可能性がある回避策について説明します。ネットワーク内のシスコデバイスに適用可能な他の対応策は、このアドバイザリに関連するCisco適用対応策速報(https://sec.cloudapps.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20070502-asa)を参照してください。

LDAP 認証バイパス

LDAP 認証バイパスの脆弱性に対しては、次の回避策が有効である場合があります。

  • L2TP
    L2TP over IPSec 接続に LDAP 認証サーバを使用するように設定されている Cisco ASA または PIX デバイスの場合、認証プロトコルとして PAP を使用するようにデバイスを設定すると、この脆弱性が緩和される可能性があります。PAP はクリア テキストでパスワードを送信することに注意してください。L2TP 接続に対して使用する場合、PAP 認証は IPSec で暗号化されます。セキュリティ アプライアンスと LDAP サーバの間の通信はデフォルトでは暗号化されず、the ldap-over-ssl コマンドを使用することにより SSL で保護できます。PAP 認証の設定については、次の例を参考にするか、セキュリティ アプライアンスの設定ガイドを参照してください。
    ciscoasa#configure terminal
ciscoasa(config)#tunnel-group l2tp_group ppp-attributes
ciscoasa(config-ppp)#authentication pap
ciscoasa(config-ppp)#no authentication ms-chap-v1
ciscoasa(config-ppp)#no authentication ms-chap-v2
ciscoasa(config-ppp)#no authentication chap
    CLIを使用したL2TP over IPSECの設定については、次のリンク先を参照してください。http://www.cisco.com/en/US/partner/products/ps6120/products_configuration_guide_chapter09186a008066ebb6.html
    ADSMを使用したL2TP over IPSECの設定については、http://www.cisco.com/en/US/partner/products/ps6121/products_configuration_guide_chapter09186a00806a81bc.htmlを参照してください。
  • リモート管理
    ローカル データベースで、または LDAP サーバ以外の AAA サーバで、リモート管理セッションを認証する Cisco ASA または PIX デバイスは、この脆弱性には該当しません。リモート管理セッションで使用するAAAサーバプロトコルの変更の詳細については、http://www.cisco.com/univercd/cc/td/doc/product/multisec/asa_sw/v_7_2/conf_gd/sysadmin/mgaccess.htmを参照してください。
    Cisco ASA または PIX がセッションを受け付ける前に、リモート管理セッションを明示的に有効にする必要があります。接続元の IP アドレスは、リモート管理セッションを有効にするコマンドの中で定義します。リモート管理セッションを有効にする例を次に示します(他のコマンドも必要ですが、これらのコマンドは Cisco ASA または PIX デバイスへのアクセスを許可されるデバイスの接続元 IP アドレスを制御します)。
    リモート telnet、ssh、および http アクセスの場合:
    ciscoasa#configure terminal
ciscoasa(config)#telnet source_IP_address mask source_interface 
ciscoasa(config)#ssh source_IP_address mask source_interface
ciscoasa(config)#http source_IP_address mask source_interface

パスワード期限が設定された VPN でのサービス拒否

脆弱性のないコードでデバイスを更新できるようになるまでは、リモート アクセス ユーザに対するパスワード期限を無効にすることで、この脆弱性を防ぐことができます。そのためには、次の例に示すように、トンネル グループの一般属性からパスワード管理エントリを削除します。

ciscoasa#configure terminal
ciscoasa(config)#tunnel-group remote_access_group general-attributes
ciscoasa(config-tunnel-general)#no password-management

この回避策を実装するとパスワード期限機能は無効になり、ユーザはパスワードの変更を強制されなくなります。

password-managementコマンドの詳細については、次のリンクの『セキュリティアプライアンスコマンドリファレンス』を参照してください。http://www.cisco.com/en/US/products/ps6120/products_command_reference_chapter09186a008063f0f8.html#wp1725278

SSL VPN でのサービス拒否

クライアントレス SSL VPN を使用する場合、SSL VPN の脆弱性に対する回避策はありません。クライアントベースの VPN は該当しないので、クライアントレス VPN 接続に対する代替手段として使用できます。

ASAでのクライアントレスSSL VPNの設定の詳細については、次のリンクの設定例を参照してください。http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00806ea271.shtml

修正済みソフトウェア

アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。

脆弱性

First Fixed Release(修正された最初のリリース)

7.1

7.2

LDAP 認証バイパス

Not affected

7.2(2)8

パスワード期限が設定された VPN でのサービス拒否

7.1(2)49

7.2(2)17

SSL VPN でのサービス拒否

7.1(2)49

7.2(2)19

修正済みソフトウェアの取得方法と取得場所についての詳細は、このアドバイザリの「修正済みソフトウェアの取得」セクションを参照してください。

推奨事項

$propertyAndFields.get("recommendations")

不正利用事例と公式発表

Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。

これらの脆弱性は、機器の通常使用中にこれらの問題が発生したお客様から Cisco に報告されたものです。

URL

改訂履歴

リビジョン 1.1

2008年4月24日

CSCsh81111およびCSCsi16248のCVSSスコアへのリンクを更新。

リビジョン 1.0

2007 年 5 月 2 日

初版リリース

利用規約

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。