Informational
Informational
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
このCisco Security Responseは、2005年6月20日にNTA Monitorのhttp://www.cisco.com/warp/public/707/cisco-sn-20050624-vpn-grpname.shtmlで公開されたCisco VPNコンセントレータグループ名列挙の脆弱性に関するアドバイザリに対応した、オリジナルのCisco Security Notice(http://www.nta-monitor.com/news/vpn-flaws/cisco/VPN-Concentrator/index.htm)の更新バージョン
です。
Cisco PIX、Cisco VPN 3000コンセントレータ、およびCisco ASAに影響を与えるその他のCisco VPNコンセントレータグループ名列挙の脆弱性は、NGS SecureのGavin Jones氏によってシスコに報告されました。この脆弱性は、Cisco IOSソフトウェアには影響しません。元のレポートでは、IKEメッセージ内のグループ名が有効であれば、影響を受けたデバイスはIKEネゴシエーションに応答しますが、無効なグループ名では応答が得られません。デバイス応答におけるこれらのIKE関連の違いは、元のCisco Bug IDで修正されています。ただし、デバイスの応答は、有効なグループ名が受信されたかどうかによって、デッドピア検出VIDに関して異なります。
このセキュリティ応答はhttps://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20101124-vpn-grpnameで公開されており、元のセキュリティ通知はhttp://www.cisco.com/warp/public/707/cisco-sn-20050624-vpn-grpname.shtmlで公開されています。
追加情報
この脆弱性により、攻撃者は、「該当製品」セクションに記載されているシスコデバイスに設定され、有効なグループ名を検出できます。この問題が該当するのは、リモートアクセスVPNシナリオでグループ認証にPSK(事前共有キー)を使用しているお客様だけです。サイト間VPN(PSKまたは証明書を使用)、証明書を持つリモートアクセスVPNを使用するお客様、または「相互グループ認証」と呼ばれるVPN 3000コンセントレータ機能を使用するお客様は、この脆弱性の影響を受けません。
この脆弱性は、該当する製品がアグレッシブモードのIKEフェーズIメッセージに応答する方法に存在します。IKEメッセージ内のグループ名が有効なグループ名である場合、影響を受けるデバイスはIKEネゴシエーションに応答しますが、無効なグループ名は応答を取得しません。
有効なグループ名が特定されると、攻撃者は該当デバイスから送信された応答パケットに含まれる情報を使用してオフライン攻撃を仕掛け、グループ認証に使用されるPSKの検出を試みます。オフライン攻撃が成功してPSKが回復した場合、この情報を使用して、該当デバイスに対してリモートVPNクライアントによって開始されるセッションに対してMiTM(Man-in-the-Middle)攻撃を試みることができます。
その他のGroup Name Enumeration Vulnerabilityは、次のBug ID(登録ユーザ専用)に記載されています。
- CSCtj96108(登録ユーザ専用):ASAで可能なグループ列挙
該当製品
次の製品は、この脆弱性に該当します。
- Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス
- Cisco PIX 500シリーズセキュリティアプライアンス(バージョン6.3.X以前は該当しません)
- Cisco VPN 3000シリーズコンセントレータ(モデル3005、3015、3020、3030、3060、および3080)
Cisco IOSソフトウェアは、この脆弱性の影響を受けません。
他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。
ソフトウェア バージョンと修正
Cisco PIX 500シリーズセキュリティアプライアンスおよびCisco VPN 3000シリーズコンセントレータのサポート終了に伴い、これらの製品の修正済みソフトウェアは提供されません。
Cisco ASA 5500シリーズ適応型セキュリティアプライアンスの修正済みソフトウェアは、Cisco.comソフトウェアダウンロードセンターから入手できます。ダウンロードセンターは、Products —> Security —> Firewall —> Firewall Appliances —> Cisco ASA 5500 Series Adaptive Security Appliances —> Cisco ASA XXXX Adaptive Security Appliance —> Adaptive Security Appliance (ASA)Softwareにあります。
次のCisco ASAソフトウェアバージョンにこの修正が含まれています。
|
メジャーバージョン |
First Fixed Release(修正された最初のリリース) |
|
8.0 |
008.000(005.023) |
|
8.1 |
008.001(002.049) |
|
8.2 |
008.002(004.005)* |
|
8.3 |
008.003(002.013) |
|
8.4 |
008.004(001.004)* |
2011年3月30日の時点で、アスタリスク(*)の付いたソフトウェアバージョンはCisco.comでは入手できません。お客様は、メンテナンスプロバイダーに連絡して、これらのバージョンを入手できます。
シスコのセキュリティ手順
シスコ製品のセキュリティの脆弱性に関するレポート、セキュリティ障害に対する支援、およびシスコからのセキュリティ情報を受信するための登録に関するすべての情報は、シスコのワールドワイド ウェブサイト https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html から入手できます。この情報には、シスコのセキュリティ通知に関して、報道機関が問い合せる場合の説明も含まれています。すべての Cisco セキュリティ アドバイザリは、http://www.cisco.com/go/psirt から入手できます。
URL
改訂履歴
| バージョン | 説明 | セクション | 日付 |
|
リビジョン 1.1 |
概要セクションに追加情報を追加 |
2010年12月2日 |
|
|
リビジョン 1.0 |
初版リリース |
2010-November-29 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。