High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco Firewall Services Module(FWSM; ファイアウォール サービス モジュール)には、細工を施されたパケットに関連する脆弱性が 2 つ存在し、FWSM のリロードの原因となる場合があります。これらの脆弱性は、HTTPS 要求の処理中や Media Gateway Control Protocol(MGCP; メディア ゲートウェイ コントロール プロトコル)パケットの処理中に引き起こされる可能性があります。
3 番目の脆弱性は、アクセス リストが操作された後、Access Control List(ACL; アクセス コントロール リスト)のエントリが評価されない原因となる場合があります。
注:これらの脆弱性は互いに独立しています。デバイスは、一方の脆弱性の影響を受け、他方の脆弱性の影響を受けない場合があります。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20071017-fwsm で公開されています。
該当製品
脆弱性のある製品
FWSM 上の HTTPS サーバが有効になっていて、ソフトウェア バージョン 3.1(5) 以前または 3.2(1) が稼働している場合、FWSM は細工を施された HTTPS 要求の脆弱性に該当します。バージョン 2.3.x は該当しません。デフォルトでは HTTPS サーバは有効になっていません。
MGCP アプリケーション レイヤ プロトコルの検査が有効になっていて、デバイスでソフトウェア バージョン 3.1(5) 以前が稼働している場合、FWSM は細工を施された MGCP パケットの脆弱性に該当します。バージョン 2.3.x および 3.2.x は該当しません。デフォルトでは MGCP の検査は有効になっていません。
FWSM は、ACL が正常に動作しない原因となる場合がある、アクセス コントロール リスト破損の脆弱性に該当します。つまり、ACL によって、通常であれば拒否されるトラフィックが許可されたり、通常であれば許可されるトラフィックが拒否されたりする場合があります。該当するバージョンには、3.1(6) 以前と 3.2(2) 以前が含まれます。バージョン 2.3.x は該当しません。
FWSM に加えて、細工を施された MGCP のパケットの脆弱性は、PIX 500 シリーズ セキュリティ アプライアンスおよび Cisco ASA 5500 適応型セキュリティ アプライアンスにも該当します。PIX および ASA に該当する脆弱性についての詳細は、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20071017-asa で公開されているアドバイザリを参照してください。
脆弱性のあるバージョンの FWSM ソフトウェアを実行しているのかどうかを判断するには、Cisco IOS または Cisco CatOS から show module Command-Line Interface(CLI; コマンドライン インターフェイス)コマンドを発行し、どのモジュールとサブモジュールがシステムにインストールされているのかを確認します。
次の例は、スロット 4 にファイアウォール サービス モジュール(WS-SVC-FWM-1)が搭載されたシステムを示しています。
switch#show module Mod Ports Card Type Model Serial No. --- ----- -------------------------------------- ----------------- ----------- 1 48 SFM-capable 48 port 10/100/1000mb RJ45 WS-X6548-GE-TX SAxxxxxxxxx 4 6 Firewall Module WS-SVC-FWM-1 SAxxxxxxxxx 5 2 Supervisor Engine 720 (Active) WS-SUP720-BASE SAxxxxxxxxx 6 2 Supervisor Engine 720 (Hot) WS-SUP720-BASE SAxxxxxxxxx
正しいスロットの場所を確認した後、show module <slot number> コマンドを発行して、実行されているソフトウェア バージョンを識別します。
switch#show module 4 Mod Ports Card Type Model Serial No. --- ----- -------------------------------------- ----------------- ----------- 4 6 Firewall Module WS-SVC-FWM-1 SAxxxxxxxxx Mod MAC addresses Hw Fw Sw Status --- --------------------------------- ------ ------------ ------------ ------- 4 0003.e4xx.xxxx to 0003.e4xx.xxxx 3.0 7.2(1) 3.1(3) Ok
この例は、「Sw」の下のカラムに示されているように、FWSM によってバージョン 3.1(3) が実行されていることを示しています。
注:Cisco IOSの最近のバージョンでは、show moduleコマンドの出力に各モジュールのソフトウェアバージョンが表示されます。したがって、show module <slot number>コマンドを実行する必要はありません。
あるいは、次に示すように、show version コマンドを使用して FWSM から情報が直接取得される場合もあります。
FWSM#show version FWSM Firewall Version 3.1(3)
Cisco Adaptive Security Device Manager(ASDM)を使用してデバイスを管理している場合は、ログイン ウィンドウの表、または ASDM ウィンドウの左上にソフトウェアのバージョンが表示されます。バージョンは次のように表示されます。
FWSM Version: 3.1(3)
脆弱性が存在しない製品
脆弱性を含んでいないことが確認された製品
詳細
このセキュリティ アドバイザリでは、相互に独立した複数の脆弱性が説明されています。これらの脆弱性は相互に関連していません。
1. 偽造 HTTPS 要求
HTTPS サーバが有効になっている FWSM では、細工が施された HTTP 要求がデバイスで処理される際にリロードする場合があります。デフォルトでは HTTPS サーバは有効になっていません。
HTTPS 要求が受信される送信元 IP アドレスとインターフェイスは、設定された http <source IP> <address mask> <source interface> コマンドに準拠している必要があります。たとえば、コマンド http 10.10.10.0 255.255.255.0 inside が設定に含まれている場合、10.10.10.0/24 ネットワークからの偽造 HTTPS 要求だけがデバイスの問題となることがあります。
HTTP の検査、HTTP/HTTPS プロキシ サーバ、および HTTP リダイレクトなど、他の HTTP サービスへの影響は確認されていません。
HTTPSサーバが有効になっているかどうかを確認するには、FWSMにログインし、CLIコマンドshow running-config | include httpコマンドを使用します。出力に http server enable および http <source IP> <address mask> <source interface> の両方が含まれている場合、デバイスには脆弱性のある設定が含まれています。次の例は、脆弱性のある設定を含んでいる FWSM を示しています。
FWSM# show running-config | include http http server enable http 10.10.10.0 255.255.255.0 inside FWSM#
この脆弱性は、Cisco Bug ID CSCsi77844(登録ユーザ専用)として文書化されており、PIXまたはASAセキュリティアプライアンスには影響しません。
2. 偽造 MGCP パケット
MGCP アプリケーション レイヤ プロトコルの検査機能が有効になっている FWSM は、細工が施された MGCP パケットを処理するときにリロードする場合があります。MGCP アプリケーション レイヤ プロトコルの検査は、デフォルトでは有効になっていません。
MGCP メッセージは、スプーフィングされたアドレスから偽造 MGCP メッセージを送信できるようにする、User Datagram Protocol(UDP; ユーザ データグラム プロトコル)を介して伝送されます。影響を受けるのはゲートウェイ アプリケーションの MGCP(UDP ポート 2427 の MGCP トラフィック)だけです。
FWSMでMGCPインスペクションが設定されているかどうかを確認するには、デバイスにログインして、CLIコマンドshow service-policy | include mgcpコマンドを使用します。出力に、Inspect: mgcp というテキストと一部の統計情報が含まれている場合、デバイスには脆弱性のある設定が含まれています。次の例は、脆弱性のある FWSM を示しています。
FWSM# show service-policy | include mgcp
Inspect: mgcp, packet 66, drop 0, reset-drop 0
FWSM#
この脆弱性は、Cisco Bug ID CSCsi00694(登録ユーザ専用)に記載されています。このアドバイザリに関連するPIX/ASAセキュリティアドバイザリに含まれる、PIXおよびASAセキュリティアプライアンスの対応するCisco Bug IDはCSCsi90468(登録ユーザ専用)です。
3. ACL の操作により ACL が破損する場合がある
この脆弱性は、操作された ACL 内の Access Control List Entry(ACE; アクセス コントロール リスト エントリ)が評価されなくなる原因となる場合があります。ACL の操作は、コマンドライン インターフェイスまたは ASDM を介して実行され、ACE の削除と再追加によって構成されます。この方法でアクセス リストが操作されると、ACL に相当する内部構造が破損し、一部の ACE が FWSM で評価されなくなります。
ACL 内の ACE が評価されないことがあるため、ACL によって、通常であれば拒否されるトラフィックが許可されたり、通常であれば許可されるトラフィックが拒否されたりする場合があります。
この脆弱性は、Cisco Bug ID CSCsj52536(登録ユーザ専用)に記載されており、PIXまたはASAセキュリティアプライアンスには影響しません。
回避策
TCP ポート 443 を使用している HTTPS パケットと UDP ポート 2427 の MGCP パケットを拒否するフィルタは、入力アクセス ポイントからネットワーク内に進入するトラフィックを保護するために、transit ACL(tACL; トランジット ACL)ポリシーの一部としてネットワーク全体に展開される必要があります。フィルタが適用されるデバイスとその背後にある他のデバイスを保護するには、このポリシーを設定する必要があります。TCP ポート 443 を使用している HTTPS パケットと UDP ポート 2427 の MGCP パケットのフィルタは、信頼できるクライアントからのトラフィックだけが許可されるように、脆弱なネットワーク デバイスの直前に展開される必要もあります。
tACLについての詳細は、『トランジットアクセスコントロールリスト:エッジでのフィルタリング』(http://www.cisco.com/en/US/tech/tk648/tk361/technologies_white_paper09186a00801afc76.shtml)を参照してください。
ネットワーク内部の Cisco のデバイスに展開できる追加の緩和テクニックについては、このアドバイザリに関連する Cisco 適用対応策速報(https://sec.cloudapps.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20071017-asafwsm)を参照してください。
1. 偽造 HTTPS 要求
デバイス上の HTTPS サーバを無効にすること以外には、これらの脆弱性に対する回避策はありません。緩和策については、このアドバイザリに関連する Cisco 適用対応策速報を参照してください。
FWSM 上で HTTPS サーバに接続できるネットワークとホストを制限することは、この脆弱性を緩和するのに役立ちます。たとえば、コマンド http 10.10.10.0 255.255.255.0 inside が設定内に存在する場合、この信頼できるネットワーク上のホストだけが FWSM との HTTPS セッションを確立できます。このシナリオでは、他の IP ネットワーク上の悪意のあるホストが FWSM に対して攻撃を開始する可能性がなくなります。
2. 偽造 MGCP パケット
デバイス上の MGCP アプリケーション レイヤ プロトコルの検査を無効にすること以外には、この脆弱性に対する回避策はありません。
アンチスプーフィング テクニックを利用すると、スプーフィングされたパケットによってこの脆弱性が悪用される可能性を緩和できます。
攻撃者が攻撃を成功させるためには、追加情報(MGCP ゲートウェイのアドレス)が必要になるため、MGCP アプリケーション レイヤの検査を MGCP ゲートウェイ間のトラフィックに制限することがこの脆弱性を緩和するのに役立ちます。MGCP アプリケーション レイヤの検査を特定のデバイス間のトラフィックに制限するには、ゲートウェイ間のトラフィックだけに一致するクラス マップを作成する必要があります。次に、そのクラス内のトラフィック上で MGCP の検査を実行する必要があります。次の例は、この実行方法を示しています。
FWSM(config)# access-list mgcp_traffic permit udp host 192.168.0.1
host 172.16.0.1 eq 2427
FWSM(config)# access-list mgcp_traffic permit udp host 172.16.0.1
host 192.168.0.1 eq 2427
FWSM(config)# class-map MGCP
FWSM(config-cmap)# match access-list mgcp_traffic
FWSM(config-cmap)# exit
FWSM(config)# policy-map global_policy
FWSM(config-pmap)# class inspection_default
FWSM(config-pmap-c)# no inspect mgcp
FWSM(config-pmap-c)# exit
FWSM(config-pmap)# class MGCP
FWSM(config-pmap-c)# inspect mgcp
FWSM(config-pmap-c)# exit
FWSM(config-pmap)# exit
FWSM(config)#
MGCP の検査がホスト 192.168.0.1 とホスト 172.16.0.1 間の UDP トラフックだけに適用されていることに注意してください。
適用可能な追加の緩和策については、このアドバイザリに関連する Cisco 適用対応策速報を参照してください。
3. ACL の操作により ACL が破損する場合がある
この脆弱性に対して適用可能な回避策は、ACL を修正する前に ACL を完全に削除してから、必要な変更を適用して再度作成することです。コマンド clear configure access-list <ACL name> を使用して、ACL を削除できます。
注:ACLの破損は、デバイスの通常の動作中には発生しません。また、特定のタイプのトラフィックによってトリガーされることはありません。この問題が発生する可能性があるのは、管理者が設定を変更した場合(さらに具体的にいえば、管理者が ACL を操作した場合)だけです。そのため、ACL の変更がメンテナンスの時間帯だけに行われており、変更後に FWSM がリロードされている場合には、この脆弱性を懸念する必要はありません。
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いかなる場合も、アップグレードするデバイスに十分なメモリがあり、現在のハードウェアおよびソフトウェア構成が新しいリリースで適切にサポートされ続けることを必ず確認してください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
次のリストには、各脆弱性に対する第 1 修正済みソフトウェア リリースが含まれています。
|
脆弱性 |
該当するメジャー リリース |
First Fixed Release(修正された最初のリリース) |
|---|---|---|
|
偽造 HTTPS 要求 |
2.3 |
Not affected |
|
3.1 |
3.1(6) |
|
|
3.2 |
3.2(2) |
|
|
偽造 MGCP パケット |
2.3 |
Not affected |
|
3.1 |
3.1(6) |
|
|
3.2 |
Not affected |
|
|
ACL の操作により ACL が破損する場合がある |
2.3 |
Not affected |
|
3.1 |
3.1(7) |
|
|
3.2 |
3.2(3) - 暫定的に利用可能な Q4CY07 |
FWSM ソフトウェア バージョン 3.1(7) および 3.2(3) には、このドキュメントで説明されたすべての脆弱性に対する修正が含まれています。
FWSMソフトウェアは、cisco.comのhttp://www.cisco.com/pcgi-bin/tablebuild.pl/cat6000-fwsm?psrtdcat20e2(登録ユーザ専用)からダウンロードできます。
推奨事項
不正利用事例と公式発表
このアドバイザリで説明されている脆弱性の公表や悪用に関する情報は Cisco PSIRT には寄せられていません。
細工を施されたパケットの脆弱性は、関連する製品の社内テスト中に Cisco によって発見されたものです。
ACL 破損の脆弱性は、カスタマー サポート ケースの解決中に発見されたものです。