Critical
Critical
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。この脆弱性に対しては回避策があります。
注:このセキュリティアドバイザリは、Cisco WSAに関する重要な情報を含むように更新されています
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120126-ironport
該当製品
脆弱性のある製品
- Cisco ESAハードウェアアプライアンスのすべてのモデル
- Cisco SMAハードウェアアプライアンスのすべてのモデル
- Cisco WSAのすべてのモデル(ハードウェアと仮想アプライアンスの両方)
注:Cisco WSA用のCisco AsyncOSソフトウェアがこの脆弱性の影響を受けるのは、セットアップ完了後にTelnetアクセスが無効になるため、システムセットアップウィザード(SSW)が実行されていない場合に限られます。
SSWが完了しない限り、Cisco WSAは完全には動作しません。これにより、Cisco WSAの脆弱性の範囲が制限されます。
この脆弱性の不正利用が可能なのは、該当システムでリモートアクセス用にTelnetが有効になっている場合だけです。システムでTelnetが有効になっているかどうかを確認するには、管理者がnetstatコマンドを使用して、デフォルトのTelnet TCPポート23がリスニングステートになっていることを確認します。次の例は、Telnetが有効になっているCisco ESAを示しています。
ciscoesa> netstat
Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address (state)
[...]
tcp4 0 0 172.18.254.80.21 *.* LISTEN
tcp4 0 0 172.18.254.80.22 *.* LISTEN
tcp4 0 0 172.18.254.80.23 *.* LISTEN
[...]
実行中のソフトウェアバージョンの確認
脆弱性のあるバージョンのCisco AsyncOSソフトウェアがアプライアンスで実行されているかどうかを確認するには、versionコマンドを発行します。次の例は、Cisco ESAソフトウェアバージョン7.6.2-201用のCisco AsyncOSソフトウェアを実行しているデバイスを示しています。
ciscoesa> version
Current Version
===============
Product: Cisco IronPort X1070 Messaging Gateway(tm) Appliance
Model: X1070
Version: 7.6.2-201
[...]
脆弱性を含んでいないことが確認された製品
他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。
詳細
Cisco WSAは、高度なマルウェア防御、アプリケーションの可視性と制御(AVC)、アクセプタブルユースポリシー(AUP)コントロール、レポート、およびセキュアなモビリティを1つのプラットフォームに統合する、セキュアなWebゲートウェイです。
Cisco AsyncOSのTelnetコードにおける脆弱性により、認証されていないリモートの攻撃者が該当システムで任意のコードを実行する可能性があります。
この脆弱性は、Telnet暗号キーを処理する際の不十分な境界チェックに起因します。 認証されていないリモートの攻撃者は、悪意のある要求をターゲットシステムに送信することで、この脆弱性を不正利用する可能性があります。 成功した場合、攻撃者は昇格された特権を使用してシステム上で任意のコードを実行する可能性があります。
注:Cisco WSA用のCisco AsyncOSソフトウェアがこの脆弱性の影響を受けるのは、セットアップ完了後にTelnetアクセスが無効になるため、システムセットアップウィザード(SSW)が実行されていない場合に限られます。
SSWが完了しない限り、Cisco WSAは完全には動作しません。これにより、Cisco WSAの脆弱性の範囲が制限されます。
この脆弱性は、Cisco ESAのCisco Bug ID CSCzv32432(登録ユーザ専用)、Cisco SMAのCSCzv44580(登録ユーザ専用)、およびCisco WSAのCSCuo90523(登録ユーザ専用)に記載されています。
この脆弱性は、Cisco IronPort Bug 83262で以前に文書化されています。Cisco IronPortは、お客様が利用できない内部システムを使用してバグを追跡します。Cisco IronPortのバグトラッキングIDは、参照専用です。
この脆弱性に対してCommon Vulnerabilities and Exposures(CVE)IDとしてCVE-2011-4862が割り当てられています。
回避策
Cisco ESAおよびCisco SMA用のCisco AsyncOSソフトウェアの一部のバージョンでは、管理ポートにTelnetが設定されます。Telnetサービスを無効にすることで、この脆弱性を軽減できます。管理者は、管理グラフィカルユーザインターフェイス(GUI)を使用するか、コマンドラインインターフェイス(CLI)でinterfaceconfigコマンドを使用して、Telnetを無効にすることができます。セキュリティのベストプラクティスとして、Telnetではなくセキュアシェル(SSH)を使用する必要があります。
GUIでTelnetを無効にするには、次の手順を実行します。
ステップ1:Network > IP Interfaces > interface_nameの順に移動します。
ステップ2:Telnetサービスの横にあるチェックボックスをオフにします。
ステップ3:Submitボタンをクリックして、変更を送信します。
ステップ4:これらの変更を有効にするには、Commit Changeボタンをクリックします。
次の例に示すように、interfaceconfigコマンドを使用して、CLI経由でTelnetを無効にします。
ciscoesa> interfaceconfig
Currently configured interfaces:
1. Data 1 (192.168.1.1/24 on Data1: mail3.example.com)
2. Data 2 (192.168.2.1/24 on Data2: mail3.example.com)
3. Management (192.168.42.42/24 on Management: mail3.example.com)
Choose the operation you want to perform:
- NEW - Create a new interface.
- EDIT - Modify an interface.
- GROUPS - Define interface groups.
- DELETE - Remove an interface.
[]> edit
Enter the number of the interface you wish to edit.
[]> 3
<..output omitted>
Do you want to enable Telnet on this interface? [N]> N
Do you want to enable SSH on this interface? [N]> Y
注:interfaceconfig コマンドの詳細については、次のリンクにある『Cisco AsyncOS Daily Management Guide』の「Other Tasks in the GUI」の項を参照してください。
http://www.cisco.com/en/US/docs/security/esa/esa7.5/ESA_7.5_Daily_Management_Guide.pdf
Cisco WSA用のCisco AsyncOSソフトウェアでは、デフォルトでTelnetが有効になっています。ただし、SSWが完了すると、Telnetは自動的に無効になります。
Cisco Applied Mitigation Bulletin(AMB)の「Identifying and Mitigating Exploitation of the Cisco IronPort Appliances Telnet Remote Code Execution Vulnerability」は、https://sec.cloudapps.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20120126-ironportから入手できます。
修正済みソフトウェア
ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt のシスコ セキュリティ アドバイザリ、応答、および通知のアーカイブや、後続のアドバイザリを参照して侵害の可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
次の表に、Cisco ESA用Cisco AsyncOSソフトウェアの最初の修正済みリリースを示します。 メジャー リリース |
最初の修正 |
7.1以前 |
7.1.5-101 |
7.3 | 7.3.1-101 |
7.5 | 7.5.1-102 |
7.6 | 7.6.1-022 |
8.0 | Not affected |
8.5 | Not affected |
8.6 | Not affected |
次の表に、Cisco SMA用Cisco AsyncOSソフトウェアの最初の修正リリースを示します。
メジャー リリース |
最初の修正 |
7.2以前 |
7.2.2-106 |
7.7 | 7.7.0-206 |
7.8 | 使用不可:7.9以降にアップグレードしてください。 |
7.9 | 7.9.0-107 |
8.0 | Not affected |
8.1 | Not affected |
8.2 | Not affected |
8.3 | Not affected |
次の表に、Cisco WSA用Cisco AsyncOSソフトウェアの最初の修正済みリリースを示します。
メジャー リリース |
最初の修正 |
7.1以前 |
使用不可:7.7以降にアップグレードしてください。 |
7.5 | 使用不可:7.7以降にアップグレードしてください。 |
7.7 | 7.7.0-757 |
8.0 | 8.0.6-073 |
8.1 | 8.1.0-235 |
推奨事項
不正利用事例と公式発表
Cisco ESA、Cisco SMA、およびCisco WSA用のCisco AsyncOSソフトウェアに影響を与えるtelnetdサービスの脆弱性は、2011年12月23日にFreeBSDプロジェクトによって公開されました。FreeBSDプロジェクトのアドバイザリは次のリンクから入手できます。
http://security.freebsd.org/advisories/FreeBSD-SA-11:08.telnetd.asc
Cisco WSAの脆弱性は、Glafkos Charalambous氏によってシスコに報告されました
Cisco Product Security Incident Response Team(PSIRT)は、該当するCisco AsyncOSソフトウェアバージョンでこの脆弱性を不正利用する可能性のあるMetasploitフレームワークのエクスプロイトモジュールを認識しています。
URL
改訂履歴
Revision 2.0 | 2014年10月16日 | Cisco WSAに関する重要な情報を追加。 |
リビジョン 1.4 | 2012年7月14日 | 該当製品のメタタグをアップデート。 |
リビジョン 1.3 | 2012年2月8日 | HTMLフォーマットのマイナーな問題を修正するためのアドバイザリを更新。 |
リビジョン 1.2 | 2012年2月7日 | IronPortソフトウェアアップデートの提供状況を含むアドバイザリを更新。 |
リビジョン 1.1 | 2012年1月26日 | アドバイザリを更新して、Cisco Applied Mitigation Bulletinの可用性を追加。 |
リビジョン 1.0 | 2012年1月26日 | 初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。