Medium
Medium
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco VPN Client for Microsoft Windows には、非特権ユーザの権限を LocalSystem アカウントの権限に昇格させることを可能にする 2 つの脆弱性が存在します。
このアドバイザリで説明されるている 2 つの脆弱性のうち 1 つには回避策があります。
Cisco では、該当するお客様用に、これらの脆弱性に対応する無償ソフトウェアを提供しております。
注:Cisco VPN Clientの64ビットバージョンのリリース5.0.7.0240(ベータリリース)および5.0.7.0290(公式リリース)では、「デフォルトのcvpnd.exeファイルの権限によるローカル権限昇格」の脆弱性に対する修正で回帰が見られました。64ビットCisco VPN Clientのリリース5.0.7.0440では、この回帰が修正されています。32ビットバージョンのCisco VPN Clientでは、このリグレッションは発生していません。
該当製品
脆弱性のある製品
このドキュメントで説明されている脆弱性は、Microsoft Windows プラットフォーム上の Cisco VPN Client に該当します。該当するバージョンは次のとおりです。
|
脆弱性の名前 |
該当するバージョン |
Cisco Bug ID |
|---|---|---|
|
1. Microsoft Windows Dial-Up Networking Interfaceを介したローカル権限昇格 |
4.8.02.0010 より低いすべてのバージョン |
CSCse89550(登録ユーザ専用) |
|
2.デフォルトのcvpnd.exeファイル権限によるローカル権限の昇格 |
32ビットCisco VPN Client:5.0.01.0600以前のすべてのバージョン |
CSCsj00785(登録ユーザ専用) |
|
64ビットCisco VPN Client:5.0.7.0240および5.0.7.0290 |
CSCtn50645(登録ユーザ専用) |(CSCsj00785の修正の回帰( 登録ユーザ専用)) |
注:VPN Client for Windowsソフトウェアは、Microsoft Installer(MSI)パッケージとInstallShield(IS)パッケージの両方として配布されます。「デフォルトの cvpnd.exe ファイルのアクセス許可を利用したローカル権限の昇格」の脆弱性に対する修正は、VPN Client バージョン 5.0.01.0600 の MSI パッケージのみに含まれています。IS パッケージにはこの脆弱性に対する修正が含まれていないため、http://www.cisco.com から削除されています。VPN Client バージョン 5.0.01.0600 の IS パッケージをダウンロードしてインストールしたお客様は、このアドバイザリの「回避策」セクションに記載されている回避策を適用するか、MSI パッケージに移行することによって、これらの脆弱性に対処する必要があります。
脆弱性を含んでいないことが確認された製品
Microsoft Windows 以外のプラットフォームで動作する Cisco VPN Client のバージョンは、これらの脆弱性に該当しません。具体的には、次のバージョンの Cisco VPN Client は該当しません。
-
Cisco VPN Client for Solaris
-
Cisco VPN Client for Linux
-
Cisco VPN Client for Macintosh(Mac OS Classic および Mac OS X)
Cisco AnyConnect VPN Client は、これらの脆弱性には該当しません。
このアドバイザリで説明されている脆弱性に該当するその他の Cisco 製品は現在のところ見つかっていません。
Cisco VPN Client のバージョンの確認
Microsoft Windows マシンで稼働している Cisco VPN Client のバージョンを調べるには、次の手順に従います。
-
Start メニューから、Programs->Cisco Systems VPN Client->VPN Client の順に選択します。Cisco VPN Client のグラフィカル ユーザ インターフェイスが開きます。
-
Help メニューから、About VPN Client... オプションを選択します。「Cisco Systems VPN Client Version 4.8.01.0300」のようなテキストを含むダイアログ ボックスが表示されます。
注:デフォルトでは、「Cisco Systems VPN Client」フォルダは、Windowsのスタートメニューの「Programs」サブメニューにあります。ただし、システム管理者によって別の名前または場所が選択されている可能性もあります。
または、Microsoft Windows のコマンド プロンプトから vpnclient.exe version コマンドを使用して、Cisco VPN Client のバージョン情報を調べることもできます。例:
C:\Program Files\Cisco Systems\VPN Client>vpnclient version 4.8.01.0300
詳細
Cisco VPN Client は、Microsoft Windows、Sun Solaris、Linux、Apple MacOS Classic および MacOS X オペレーティング システム向けのソフトウェア ソリューションです。このソフトウェアを使用すると、Cisco IOS ルータ、PIX セキュリティ アプライアンス、VPN 3000 シリーズ コンセントレータ、ASA 5500 シリーズ適応型セキュリティ アプライアンスなどの VPN 対応デバイスに対して IPSec VPN トンネルを確立できます。
Cisco VPN Client for Microsoft Windows には、非特権ユーザの権限を昇格させることを可能にする 2 つの脆弱性が存在します。
注:次の脆弱性は、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20060524-vpnclientで公開されているCisco VPN Client for Windowsに関するCisco Security Advisoryで説明されている脆弱性とは異なります。
1. Microsoft Windows Dial-Up Networking Interfaceを介したローカル権限昇格
Start Before Logon(SBL)機能を有効にし、Microsoft ダイヤルアップ ネットワーキング インターフェイスを使用するように VPN プロファイルを設定することにより、非特権ユーザの権限が LocalSystem アカウントと同等の権限に昇格される可能性があります。これら 2 つの設定を同時に有効にして設定すると、Windows のログオン画面に Cisco VPN Client の Graphical User Interface(GUI)が表示されます。これら 2 つの設定は、管理者権限を持っていなくても変更できることに注意してください。
Windows のログイン画面では、Microsoft ダイヤルアップ ネットワーキングを使用するように設定された VPN プロファイルを利用して、ダイヤルアップ ネットワーキング ダイアログ ボックスを起動できます。これにより、ユーザは自分の権限を昇格させることが可能になります。
この脆弱性は、「Windows Logon Properties」ダイアログ ボックス(Options-> Windows Logon Properties...)にある設定オプション「Allow launching of third party applications before logon」が有効になっていないと、Microsoft ダイヤルアップ ネットワーキングを使用するように設定された VPN プロファイルを Windows のログオン画面から選択できないようにすることによって対処されています。
注: 「Allow launching of third party applications before logon」を有効にすると、セキュリティ上の問題が発生する可能性があります。このオプションを有効にできるのは、管理者権限を持つユーザのみです。
この脆弱性は、Cisco Bug ID CSCse89550(登録ユーザ専用)に記載されています。
SBL 機能についての詳細は、http://www.cisco.com/en/US/docs/security/vpn_client/cisco_vpn_client/vpn_client46/win/user/guide/vc7.html#wp1301567 を参照してください。
LocalSystem アカウントとその権限については、http://msdn2.microsoft.com/en-us/library/ms684190.aspx を参照してください。
2.デフォルトのcvpnd.exeファイル権限によるローカル権限の昇格
Cisco VPN Service の実行可能ファイルを任意の実行可能ファイルに置き換えることにより、LocalSystem アカウントの権限を必要とする任意のプログラムを非特権ユーザが実行できるようになります。この脆弱性は、インストール時に cvpnd.exe(Cisco VPN Service の実行可能ファイル)に割り当てられるデフォルトのファイル アクセス許可によって、非特権ユーザが cvpnd.exe を任意のファイルに置き換えることが許可されているために存在します。
Cisco VPN Service は LocalSystem 権限で実行される Windows サービスであるため、非特権ユーザは容易に自分の権限を昇格させることができます、
この脆弱性は、ソフトウェアをアップグレードしなくても回避できます。このアドバイザリの「回避策」セクションを参照してください。
この脆弱性は、Cisco Bug ID CSCsj00785(登録ユーザ専用)に記載されています。
注:Cisco VPN Clientの64ビットバージョンのリリース5.0.7.0240(ベータリリース)および5.0.7.0290(公式リリース)にはCSCsj00785(登録ユーザ専用)に対する修正に回帰があり、この脆弱性にも該当します。64ビットCisco VPN Clientのリリース5.0.7.0440では、この回帰が修正されています。32ビットバージョンのCisco VPN Clientでは、このリグレッションは発生していません。この回帰に対する修正は、Cisco Bug ID CSCtn50645(登録ユーザ専用)に記載されています。
脆弱性スコア評価の詳細
Cisco では、Common Vulnerability Scoring System(CVSS)に基づき、このアドバイザリで説明されている脆弱性のスコアを評価しました。このセキュリティアドバイザリでの CVSS スコアは CVSS version 2.0 に基づいています。
Cisco では基本スコアと現状スコアを評価します。お客様はこれらを用いて環境評価スコア (Environmental Score) を算出し、個々のネットワークにおける脆弱性の影響度を導き出すことができます。
Cisco PSIRT は、すべてのケースにおける重みを「標準」に設定します。特定の脆弱性の環境的影響を判断する際には、重みパラメータを適用することを推奨します。
CVSS は、脆弱性の重大度を伝える標準ベースのスコア評価方式であり、対応の緊急度や優先度を判断するのに役立ちます。
Cisco は以下の URL にて CVSS に関する FAQ を提供しています。
http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html にアクセスしてください。
また Cisco は個々のネットワークにおける環境影響度を算出する CVSS 計算ツールを以下の URL にて提供しています。
https://sec.cloudapps.cisco.com/security/center/cvssCalculator.x
|
1. Microsoft Windows Dial-Up Networking Interface(CSCse89550( 登録ユーザ専用))によるローカル権限の昇格 環境スコアを計算する
0.CSCse89550
|
||||||
|---|---|---|---|---|---|---|
|
CVSS 基本スコア:6.8 |
||||||
|
攻撃元区分 |
攻撃条件の複雑さ |
[Authentication] |
機密性への影響 |
完全性への影響 |
可用性への影響 |
|
|
Local |
低い |
1 回 |
完了 |
完了 |
完了 |
|
|
CVSS 現状スコア:5.9 |
||||||
|
攻撃される可能性 |
利用可能な対策のレベル |
Report Confidence |
||||
|
高 |
Official-Fix |
確認済 |
||||
|
2.デフォルトのcvpnd.exeファイル権限によるローカル権限昇格(CSCsj00785(登録ユーザ専用)およびCSCtn50645(登録ユーザ専用)) 環境スコアを計算する
CSCsj00785およびCSCtn50645
|
||||||
|---|---|---|---|---|---|---|
|
CVSS 基本スコア:6.8 |
||||||
|
攻撃元区分 |
攻撃条件の複雑さ |
[Authentication] |
機密性への影響 |
完全性への影響 |
可用性への影響 |
|
|
Local |
低い |
1 回 |
完了 |
完了 |
完了 |
|
|
CVSS 現状スコア:5.9 |
||||||
|
攻撃される可能性 |
利用可能な対策のレベル |
Report Confidence |
||||
|
高 |
Official-Fix |
確認済 |
||||
回避策
この脆弱性に対する回避策はありません。
2.デフォルトのcvpnd.exeファイル権限によるローカル権限の昇格
この脆弱性に対する効果的な回避策は、cvpnd.exe から NT AUTHORITY\INTERACTIVE へのアクセス権を取り消すことです。例:
C:\Program Files\Cisco Systems\VPN Client>cacls cvpnd.exe /E /R "NT AUTHORITY\INTERACTIVE"
注:Windows Vistaには、caclsの更新された部分的な代替手段であるicaclsが含まれています。icacls についての詳細は、http://www.microsoft.com/technet/technetmag/issues/2007/07/SecurityWatch/default.aspx を参照してください。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
次の Cisco VPN Client ソフトウェアの表の各行には、このドキュメントで説明した脆弱性のいずれかが説明されています。修正を含む最初のリリース(「第 1 修正済みリリース」)とその提供予定日が「第 1 修正済みリリース」の列に、脆弱性ごとに示されています。特定の列のリリースより古い(「第 1 修正済みリリースより古い)リリースが稼働中のデバイスは、脆弱であることが確認されています。このようなリリースは、少なくとも、示されているリリース以上(最初の修正リリース ラベル以上)にアップグレードしてする必要があります。
|
脆弱性 |
First Fixed Release(修正された最初のリリース) |
|---|---|
|
1. Microsoft Windows Dial-Up Networking Interface(CSCse89550( 登録ユーザ専用))によるローカル権限の昇格 |
4.8.02.0010(MSI および IS パッケージ) |
|
2.デフォルトのcvpnd.exeファイル権限によるローカル権限昇格(CSCsj00785(登録ユーザ専用)およびCSCtn50645(登録ユーザ専用)) |
32ビットバージョン:5.0.01.0600(MSIパッケージのみ) |
|
64ビットバージョン:5.0.07.0440(MSIパッケージのみ) |
注:VPN Client for Windowsソフトウェアは、Microsoft Installer(MSI)パッケージとInstallShield(IS)パッケージの両方として配布されます。「デフォルトの cvpnd.exe ファイルのアクセス許可を利用したローカル権限の昇格」の脆弱性に対する修正は、VPN Client バージョン 5.0.01.0600 の MSI パッケージのみに含まれています。IS パッケージにはこの脆弱性に対する修正が含まれていないため、http://www.cisco.com から削除されています。VPN Client バージョン 5.0.01.0600 の IS パッケージをダウンロードしてインストールしたお客様は、このアドバイザリの「回避策」セクションに記載されている回避策を適用するか、MSI パッケージに移行することによって、これらの脆弱性に対処する必要があります。
注:このアドバイザリで説明されている2つの脆弱性に対する修正を含むソフトウェアバージョンを展開するには、VPN Client v5.0.01.0600のMSIパッケージを展開する必要があります。
Cisco VPN Client for Windows は、Cisco.com の次の場所からダウンロードできます。
http://www.cisco.com/pcgi-bin/tablebuild.pl/windows?psrtdcat20e2
セキュリティ修正は、古いバージョンの Cisco VPN Client for Windows ソフトウェアには適用されないので注意してください。Cisco VPN Client for Windows に該当する公開済みのすべての脆弱性に対する修正を含むバージョンを探している場合は、上記の URL から最新の MSI パッケージをダウンロードしてインストールする必要があります。
注:英語版以外のMicrosoft Windowsでは、Cisco VPN Clientバージョン5.0.01.0600へのアップグレードが失敗する可能性があることが報告されています。この問題はCisco Bug ID CSCsj89801(登録ユーザ専用)で追跡されており、シスコではhttp://www.cisco.com/pcgi-bin/tablebuild.pl/windows?psrtdcat20e2(登録ユーザ専用)(ファイル名vpnclient-international-transform-5.0.01.0600.zip)からMSIトランスフォームの形式で回避策を提供しています。将来のバージョンの Cisco VPN Client for Windows では、この回避策が不要になる予定です。
推奨事項
不正利用事例と公式発表
このアドバイザリで説明されている脆弱性の公表や悪用に関する情報は Cisco PSIRT には寄せられていません。
「Microsoft Windows ダイヤルアップ ネットワーキング インターフェイスを利用したローカル権限の昇格」の脆弱性(CSCse89550)は、お客様から Cisco に報告されたものです。
「デフォルトの cvpnd.exe ファイルのアクセス許可を利用したローカル権限の昇格」の脆弱性(CSCsj00785)は、Next Generation Security Software Ltd. の Dominic Beecher 氏から Cisco に報告されたものです。また、Beecher 氏により、この脆弱性に対する有効な回避策が提供されています。Cisco では、この脆弱性を報告し、この脆弱性の公開にご協力いただいた Dominic Beecher 氏ならびに Next Generation Security Software Ltd. に対して謝意を表します。
「Local Privilege Escalation Through Default cvpnd.exe File Permissions」の脆弱性に対する修正の回帰(CSCtn50645)は、NGS SecureのGavin Jones氏によって発見され、シスコに報告されました。シスコは、この脆弱性を報告いただき、弊社と連携しての公開にご協力いただいたGavin Jones氏およびNGS Secure社に感謝いたします。
URL
改訂履歴
|
リビジョン 1.3 |
2011年3月16日 |
64ビットバージョンのCisco VPN Clientにおける、デフォルトのcvpnd.exeファイルのアクセス許可によるローカル権限昇格の脆弱性に対する修正での回帰に関する情報を追加。 |
|
リビジョン 1.2 |
2008年4月25日 |
CSCse89550およ |
|
リビジョン 1.1 |
2007 年 9 月 12 日 |
英語以外のバージョンの Microsoft Windows でアップグレードに失敗する問題と、回避策に関する情報を追加。 |
|
リビジョン 1.0 |
2007 年 8 月 15 日 |
初版リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。