High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco PIX 500 シリーズ セキュリティ アプライアンス(PIX)および Cisco 5500 シリーズ適応型セキュリティ アプライアンス(ASA)には、偽造パケットによる 2 つの脆弱性が存在し、デバイスのリロードが発生する場合があります。これらの脆弱性は、Media Gateway Control Protocol(MGCP; メディア ゲートウェイ コントロール プロトコル)パケットの処理中や、PIX または ASA セキュリティ アプライアンス上で終端する Transport Layer Security(TLS)トラフィックの処理中に引き起こされる可能性があります。
注:これらの脆弱性は互いに独立しています。デバイスは、一方の脆弱性に該当しても、他方の脆弱性には該当しない可能性があります。
該当製品
脆弱性のある製品
MGCP アプリケーション レイヤ プロトコルの検査が有効になっていて、デバイスで特定の 7.x ソフトウェア バージョンが稼働している場合、Cisco PIX および ASA セキュリティ アプライアンスは偽造 MGCP パケットの脆弱性に該当します。バージョン 6.3.x への影響はありません。デフォルトでは MGCP の検査は有効になっていません。該当する具体的なバージョンについては、「ソフトウェア バージョンと修正」セクションを参照してください。
PIX および ASA セキュリティ アプライアンスは、PIX および ASA セキュリティ アプライアンス上で TLS セッションが終端する原因となる 1 つ以上の機能がソフトウェアに設定されている場合、特定の 7.x ソフトウェア バージョンが実行されているデバイスに影響する、偽造 TLS パケットの脆弱性による影響も受けます。これらの機能には、クライアントレス WebVPN、AnyConnect および SSL VPN クライアントを使用したクライアント接続、HTTPS 管理、ネットワーク アクセスのカットスルー プロキシ、および暗号化された音声検査の TLS プロキシなどがあります(これらの機能に限りません)。バージョン 6.3.x への影響はありません。TLS セッションが PIX および ASA セキュリティ アプライアンス上で終端する原因となる機能は、デフォルトでは有効になっていません。該当する具体的なバージョンについては、「ソフトウェア バージョンと修正」セクションを参照してください。
PIX および ASA セキュリティ アプライアンスに加え、偽造 MGCP パケットの脆弱性は、Cisco Firewall Services Module(FWSM; ファイアウォール サービス モジュール)にも該当します。FWSM についての詳細は、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20071017-fwsm に掲載されているアドバイザリを参照してください。
脆弱性のある Cisco PIX または ASA ソフトウェアのバージョンを実行しているかどうかを判断するには、show version Command-Line Interface(CLI; コマンドライン インターフェイス)コマンドを発行します。
次の例は、ソフトウェア リリース 7.2(3) を実行している Cisco ASA セキュリティ アプライアンスを示しています。
ASA# show version
Cisco Adaptive Security Appliance Software Version 7.2(3)
[...]
Cisco Adaptive Security Device Manager(ASDM)を使用してデバイスを管理している場合は、ログイン ウィンドウの表、または ASDM ウィンドウの左上にソフトウェアのバージョンが表示されます。バージョンは次のように表示されます。
PIX Version 7.2(3)
脆弱性を含んでいないことが確認された製品
FWSM を除き、このアドバイザリで説明されている問題の脆弱性があると判明している Cisco 製品はありません。
詳細
このセキュリティ アドバイザリでは、相互に独立した 2 つの脆弱性について説明しています。
1. 偽造 MGCP パケット
Media Gateway Control Protocol(MGCP; メディア ゲートウェイ コントロール プロトコル)アプリケーション レイヤ プロトコルの検査機能が有効になっている PIX または ASA セキュリティ アプライアンスでは、デバイスで偽造 MGCP パケットが処理されるとリロードする場合があります。MGCP アプリケーション レイヤ プロトコルの検査は、デフォルトでは有効になっていません。
MGCP メッセージは、スプーフィングされたアドレスから偽造 MGCP メッセージを送信できるようにする、User Datagram Protocol(UDP; ユーザ データグラム プロトコル)を介して伝送されます。影響を受けるのはゲートウェイ アプリケーションの MGCP(UDP ポート 2427 の MGCP トラフィック)だけです。
PIXまたはASAでMGCPインスペクションが設定されているかどうかを確認するには、デバイスにログインして、CLIコマンドshow service-policy | include mgcpコマンドを使用します。出力に、Inspect: mgcp というテキストと一部の統計情報が含まれている場合、デバイスには脆弱性のある設定が含まれています。次の例は、脆弱性のある Cisco ASA セキュリティ アプライアンスを示しています。
ASA# show service-policy | include mgcp
Inspect: mgcp, packet 15, drop 0, reset-drop 0
ASA#
この脆弱性は、Cisco Bug ID CSCsi90468に記載されています。このアドバイザリに関連するFWSMセキュリティアドバイザリに含まれる、対応するFWSMのCisco Bug IDはCSCsi00694です。
2.偽造TLSパケット
Transport Layer Security(TLS)は、Secure Socket Layer(SSL)に代わるプロトコルです。これは、暗号化を介して、2 つのエンド ポイント間にセキュアな通信を提供するプロトコルです。
PIX および ASA セキュリティ アプライアンスは、さまざまなシナリオにおける通信の機密保持に対する保護を TLS に依存しています。これらすべてのシナリオでは、PIX および ASA が TLS プロトコルの処理において脆弱性に影響され、特別に偽造された TLS パケットが処理される際にデバイスがリロードする原因となる場合があります。
この脆弱性によって影響されるシナリオには、クライアントレス WebVPN 接続、HTTPS 管理セッション、ネットワーク アクセスのカットスルー プロキシ、および暗号化された音声検査の TLS プロキシなどがあります。
クライアントレス WebVPN、SSL VPN クライアント、および AnyConnect 接続
クライアント WebVPN 接続は、webvpn コマンドを介して有効になります。たとえば、次の設定は、クライアントレス WebVPN が設定されて有効になっている、8.0 ソフトウェアが実行されている ASA を示しています。この場合、次のようにデフォルトのポートである TCP ポート 443 で、ASA によって WebVPN 接続が受信されます。
http server enable ! webvpn enable outside
この設定では、Outside インターフェイスからの攻撃に対してデバイスが脆弱であることに注意してください。
HTTPS 管理セッション
HTTPS 管理セッションは、http server enable および http コマンドによって有効になります。たとえば、次の設定はリモートの HTTPS 管理に設定された ASA を示しています。
http server enable http 192.168.0.0 255.255.255.0 inside
この設定では、Inside インターフェイスおよび 192.168.0.0/24 IP サブネットワークからの攻撃に対してデバイスが脆弱であることに注意してください。
ネットワーク アクセスのカットスルー プロキシ
カットスルー プロキシ機能は、ユーザがネットワークにアクセスする前に、ユーザを認証するために使用されます。ユーザがネットワーク アクセスを許可される前にユーザによる認証が必要になる設定は、次の例のようになります。
access-list auth-proxy extended permit tcp any any eq www access-list auth-proxy extended permit tcp any any eq telnet access-list auth-proxy extended permit tcp any any eq https ! aaa authentication match auth-proxy inside LOCAL aaa authentication secure-http-client aaa authentication listener https inside port https
この脆弱性に該当する設定には、コマンド aaa authentication secure-http-client または aaa authentication listener https inside port <port number> が含まれます。
上の例に示した設定では、Inside インターフェイスからの攻撃に対してデバイスが脆弱であることに注意してください。
暗号化された音声検査の TLS プロキシ
この機能を使用すると、セキュリティ アプライアンスでは、Skinny と Session Initiation Protocol(SIP; セッション開始プロトコル)の既存の VoIP 検査機能が保持されたままで、復号化、検査と修正(たとえば、必要に応じて NAT フィックスアップの実行など)、および音声シグナリング トラフィックの再暗号化などが可能になります。音声シグナリングが復号化されると、プレーン テキストのシグナリング メッセージが既存のインスペクション エンジンに渡されます。セキュリティ アプライアンスは、IP Phone と Cisco Unified CallManager 間の TLS プロキシとして動作することでこれを実現しますが、これは TLS セッションがセキュリティ アプライアンス上で終端していることを示しています。
暗号化された音声の検査をサポートするようにCisco PIXまたはASAセキュリティアプライアンスが設定されているかどうかを確認するには、デバイスにログインして、CLIコマンドshow service-policy | include tlsコマンドを使用します。出力に、tls-proxy: active というテキストと一部の統計情報が含まれている場合、デバイスには脆弱性のある設定が含まれています。次の例は、脆弱性のある Cisco ASA セキュリティ アプライアンスを示しています。
ASA# show service-policy | include tls
Inspect: sip tls-proxy myproxy, packet 0, drop 0, reset-drop 0
tls-proxy: active sess 0, most sess 0, byte 0
Inspect: skinny tls-proxy myproxy, packet 0, drop 0, reset-drop 0
tls-proxy: active sess 0, most sess 0, byte 0
ASA#
この脆弱性は、Cisco Bug ID CSCsg43276およびCSCsh97120に記載されています。この脆弱性は、FWSM には影響しません。
回避策
TCP ポート 443 を使用している TLS パケットと UDP ポート 2427 の MGCP パケットを拒否するフィルタは、入力アクセス ポイントからネットワーク内に進入するトラフィックを保護するために、transit ACL(tACL; トランジット ACL)ポリシーの一部としてネットワーク全体に展開される必要があります。フィルタが適用されるデバイスとその背後にある他のデバイスを保護するには、このポリシーを設定する必要があります。TCP ポート 443 を使用している TLS パケットと UDP ポート 2427 の MGCP パケットのフィルタは、信頼できるクライアントからのトラフィックだけが許可されるように、脆弱なネットワーク デバイスの直前に展開される必要もあります。
tACLについての詳細は、『トランジットアクセスコントロールリスト:エッジでのフィルタリング』を参照してください。http://www.cisco.com/en/US/tech/tk648/tk361/technologies_white_paper09186a00801afc76.shtml
ネットワーク内部の Cisco のデバイスに展開できる追加の緩和テクニックについては、このアドバイザリに関連する Cisco 適用インテリジェンス(http://www.cisco.com/warp/public/707/cisco-air-20071017-asafwsm.shtml)を参照してください。
1. 偽造 MGCP パケット
デバイス上の MGCP アプリケーション レイヤ プロトコルの検査を無効にすること以外には、この脆弱性に対する回避策はありません。
アンチスプーフィング テクニックを利用すると、スプーフィングされたパケットによってこの脆弱性が悪用される可能性を緩和できます。
攻撃者が攻撃を成功させるためには、追加情報(MGCP ゲートウェイのアドレス)が必要になるため、MGCP アプリケーション レイヤの検査を MGCP ゲートウェイ間のトラフィックに制限することがこの脆弱性を緩和するのに役立ちます。MGCP アプリケーション レイヤの検査を特定のデバイス間のトラフィックに制限するには、ゲートウェイ間のトラフィックだけに一致するクラス マップを作成する必要があります。次に、そのクラス内のトラフィック上で MGCP の検査を実行する必要があります。次の例は、この実行方法を示しています。
ASA(config)# access-list mgcp_traffic permit udp host 192.168.0.1 host 172.16.0.1 eq 2427 ASA(config)# access-list mgcp_traffic permit udp host 172.16.0.1 host 192.168.0.1 eq 2427 ASA(config)# class-map MGCP ASA(config-cmap)# match access-list mgcp_traffic ASA(config-cmap)# exit ASA(config)# policy-map global_policy ASA(config-pmap)# class inspection_default ASA(config-pmap-c)# no inspect mgcp ASA(config-pmap-c)# exit ASA(config-pmap)# class MGCP ASA(config-pmap-c)# inspect mgcp ASA(config-pmap-c)# exit ASA(config-pmap)# exit ASA(config)#
MGCP の検査がホスト 192.168.0.1 とホスト 172.16.0.1 間の UDP トラフックだけに適用されていることに注意してください。
適用可能な追加の緩和策については、このアドバイザリに関連する Cisco 適用インテリジェンスを参照してください。
2.偽造TLSパケット
ASDM は、Cisco PIX または ASA セキュリティ アプライアンスを管理するために使用されます。ASDM へのアクセスは、信頼できるインターフェイスと承認されたホストからだけ許可される必要があります。信頼できるホストだけに ASDM アクセスを制限することによって、これらの攻撃を実行する攻撃者の能力が制限されます。
たとえば、192.168.1.2 というアドレスを持つ Inside インターフェイス上の単一のホストに対する ASDM アクセスを制限するには、次のコマンドを入力します。
hostname(config)# http 192.168.1.2 255.255.255.255 inside
その他の情報は次から入手できます。
Cisco セキュリティ アプライアンス コマンドライン設定ガイド、バージョン 7.2(http://www.cisco.com/en/US/docs/security/asa/asa72/configuration/guide/mgaccess.html#wp1047288)
クライアントレス WebVPN、AnyConnect および SSL VPN クライアントを使用したクライアント接続、ネットワーク アクセスのカットスルー プロキシ、および暗号化された音声検査機能の TLS プロキシが使用されている場合、回避策はありません。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
次のリストには、各脆弱性に対する第 1 修正済みソフトウェア リリースが含まれています。
|
脆弱性 |
該当するメジャー リリース |
First Fixed Release(修正された最初のリリース) |
|---|---|---|
|
偽造 MGCP パケット |
7.0 |
7.0(6.33) 以降 |
|
7.1 |
7.1(2.54) 以降 |
|
|
7.2 |
7.2(2.23) 以降 |
|
|
8.0 |
8.0(2) |
|
|
偽造 TLS パケット |
7.0 |
Not affected |
|
7.1 |
7.1(2.55) 以降 |
|
|
7.2 |
7.2(2.24) 以降 |
|
|
8.0 |
Not affected |
メンテナンス ソフトウェア リリース 7.0(7)、7.1(3)、7.2(3)、および 8.0(2) は、このセキュリティ アドバイザリで説明されている 2 つの脆弱性に対する修正を含む最初のソフトウェア リリースです。
修正された PIX ソフトウェアは、http://www.cisco.com/pcgi-bin/tablebuild.pl/pix?psrtdcat20e2 からダウンロードできます。
修正された ASA ソフトウェアは、http://www.cisco.com/pcgi-bin/tablebuild.pl/asa?psrtdcat20e2 からダウンロードできます。
推奨事項
不正利用事例と公式発表
このアドバイザリで説明されている脆弱性の公表や悪用に関する情報は Cisco PSIRT には寄せられていません。
これらの脆弱性は、Cisco の社内テストおよびカスタマー サービス リクエストによって発見されたものです。
URL
改訂履歴
|
リビジョン 1.1 |
2007 年 10 月 19 日 |
AnyConnect および SSL VPN クライアントによるクライアント接続を含めるようにクライアントレス WebVPN を変更 |
|
リビジョン 1.0 |
2007 年 10 月 17 日 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。