Cisco Unified IP Phoneローカルカーネルシステムのコール入力検証の脆弱性

アドバイザリーID : cisco-sa-20130109-uipphone

初公開日 : 2013-01-09 16:00

最終更新日 : 2014-11-03 21:48

バージョン 1.4 : Final

回避策 : No Workarounds available

Cisco バグ ID : CSCuc83860

 

Cisco Unified IP Phone 7900シリーズバージョン9.3(1)SR1以前には、任意のコードが実行される脆弱性があり、ローカルの攻撃者が昇格された特権を使用してコードを実行したり、任意のメモリを変更したりする可能性があります。

この脆弱性は、ユーザ空間で実行されているアプリケーションからカーネルシステムコールに渡される入力を適切に検証できないことに起因します。攻撃者は、物理アクセスまたはSSHを使用した認証アクセスを使用してデバイスへのローカルアクセスを取得し、問題を不正利用するように設計された攻撃者によって制御されるバイナリを実行することで、この問題を不正利用する可能性があります。このような攻撃は、権限のないコンテキストから発生します。

Ang Cui氏は最初にこの問題をCisco Product Security Incident Response Team(PSIRT)に報告しました。2012年11月6日、Cisco PSIRTはこの問題をCisco Bug ID CSCuc83860(登録ユーザ専用)のリリースノート格納装置で公開しました。その後、Cui氏は複数の公開会議で講演し、あるデバイスが危険にさらされ、リスニングデバイスとして使用されている事実を示すデモンストレーションを行いました。

影響を受けるデバイスの攻撃対象領域を減らすための緩和策が利用できます。詳細については、このセキュリティアドバイザリの「詳細」セクションと、付属のCisco Applied Mitigation Bulletin(AMB)を参照してください。

更新（2014年11月3日）:
このドキュメントで説明されている脆弱性を解決するアップデート済みソフトウェアがリリースされています。 このリリースは一般に入手可能であり、Cisco.comの製品固有のサポートエリアからダウンロードできます。リリースバージョンは9.4(2)です。

このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130109-uipphone

この脆弱性は、Cisco Unified IP Phone 7900シリーズ（TNP電話機とも呼ばれる）に影響を与えます。

CiscoUnified IP Phone 7900シリーズの複数のモデルには、ローカルの認証された攻撃者がデバイス内のメモリの任意の領域を操作できる可能性のある入力検証の脆弱性が存在します。これは、カーネルシステムコールに渡されるユーザ指定のパラメータを正しく検証できないことが原因です。攻撃者がデバイスへのローカルアクセスを取得できる複数のアクセスベクトルが特定されています。攻撃者は、デバイスの背面にあるAUXポートを介してデバイスに物理的にアクセスするか、最初にSSHを介してデバイスに認証することでリモートからアクセスできます。Cisco Unified Communications Manager(CallManager)がデバイスをプロビジョニングすると、リモートアクセス方式はデフォルトで無効になります。

公開デモ

この問題は、複数の会場で公開デモンストレーションが行われています。各デモンストレーションでは、使用されているデバイスは、該当するバージョンのCisco Unified IP Phoneソフトウェアを実行しているプロビジョニングされていない電話機として表示されます。このデモンストレーションでは、物理的な攻撃ベクトルを使用して、ローカルシリアルポート経由で電話機に侵入し、変更されたバイナリをデバイスに配置します。このバイナリは、この問題を不正利用することで、カーネルメモリの任意の領域を操作するために使用される可能性があります。

デモンストレーションでは、ハンドセットがオンフックの状態（受け台にあるハンドセット）で、ハンドセットマイクが有効になります。TNPデバイス上の高ゲインエリアマイクは、スピーカフォンアクティブインジケータに電気的に接続されており、ソフトウェア操作によってバイパスすることはできません。79x1シリーズのデバイスでは、受話器のマイクはソフトウェアとオーディオコーデックの汎用入出力(GPIO)チャネルによって制御されるため、マイクをアクティブにして受話器の表示インジケータをバイパスできます。

79x2および79x5シリーズのデバイスは、受話器のマイクをオフフックスイッチに電気的に接続することで追加の保護機能を提供するように設計されています。オフフックスイッチにより、マイクは何の表示もなく作動しなくなります。

想定されるリモート攻撃

物理的な攻撃ベクトルに加えて、Cisco Unified IP Phoneの特定の動作を利用する複数のネットワークベースの攻撃が想定されています。これまでのところ、攻撃はTFTPの使用を悪用することに基づいて行われています。TFTPは、UDP上で動作するセキュアでないトランスポートプロトコルであり、スプーフィング攻撃を受けやすい性質があります。シスコでは、TFTPが安全でないと認識しており、管理者がCisco Unified Call Managerバージョン5.0以降でTFTPを介して転送される電話機設定ファイルを暗号化して保護できるようになっています。さらに、バージョン8.0(1)以降のすべてのリリースでは、デフォルトでセキュアなポリシーが設定されています。これらのリリースはデフォルトでデバイス設定ファイルに署名し、電話機のSSHとWebデーモンの両方を無効にします。デバイス設定ファイルの署名と暗号化により、攻撃者がTFTPサーバまたはサーバの応答をスプーフィングしてこれらのファイルを改ざんまたは置き換えることを防止します。これは、デバイスで使用する前にこれらのファイルの暗号署名を確認することによって実現されます。

これらのデフォルトの保護に加えて、シスコはすべての音声ネットワーク導入向けの包括的な設計ガイドを提供します。これには、スプーフィングされたトラフィックが音声ネットワークを通過しないようにするための、中間デバイスとエッジデバイスに推奨されるセキュリティ機能の設定、および音声トラフィックの一般的なネットワークトラフィックからの分離が含まれます。Cisco Unified Communications Managerバージョン9.0のセキュリティ情報については、次のリンク先を参照してください。http://www.cisco.com/en/US/docs/voice_ip_comm/cucm/srnd/9x/security.html

シスコは、ネットワーク、デバイス、および設定に基づく緩和策が数多く存在する一方で、影響を受けるデバイスに対する物理的な攻撃ベクトルを緩和する方法はないと認識しています。このため、シスコは段階的な修復アプローチを実施しました。このアプローチは影響を受けるデバイスに対するEngineering Specialの中継ソフトウェアリリースから始まり、このアドバイザリに記載された脆弱性に対する既知の攻撃ベクトルを緩和します。このソフトウェアリリースは、Cisco Technical Assistance Center(TAC)からの要求に応じて入手できます。2013年2月14日にCisco.comで公開されたサービスリリースでは、その他の機能拡張も行われる予定です。  

この脆弱性の最終的な修復方法は、該当デバイスの9.4(2) General Availabilityソフトウェアリリースの一部として公開されています。 このソフトウェアは、2014年9月にCisco.comに公開されました。

この脆弱性は、Cisco Bug ID CSCuc83860(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2012-5445が割り当てられています。

ソフトウェアの強化

不正アクセスに対するセキュリティを強化するために、該当するソフトウェアに変更が加えられています。次の変更が行われました。

• 影響を受けるデバイスのローカルコンソールポートを無効にします。
  • この変更により、電話機のAUX/コンソールポートに物理的にアクセスして該当デバイスのコマンドラインにアクセスする機能が削除されます。

• デフォルトのユーザシェルを削除します。
  • 影響を受けるデバイスからインタラクティブなUnixライクなシェルが削除されました。SSHが有効になっていて、ユーザが正常に認証された場合、使用可能なシェルはデバッグオプションとログオプションのみです。

これらの変更は、Cisco Bug ID CSCue04937(登録ユーザ専用)として文書化されています。

9.3(1)SR2サービスリリースでは、さらに強化された対策が施されています。  次の変更が行われました。

• SSH authorized_keysファイルは電話機に送信されなくなりました
  • この変更により、SSHキーのみを使用して電話機に認証する機能が削除されます。  SSHが有効な場合、管理者はデバイスのプロファイルで定義されたユーザ名とパスワードを使用して認証する必要があります。

これらの変更は、Cisco Bug ID CSCue04970(登録ユーザ専用)として文書化されています。

管理者は、次の適用対応策速報に記載されている対応策を読んで実装することを推奨します。Cisco Unified IP Phoneがシスコインフラストラクチャに導入されていない場合、管理者は少なくとも、暗号化された設定を導入すること、およびSSHが無効になっていることを確認することを検討する必要があります。Cisco Unified Communications Managerバージョン8.0(1)以降のコンフィギュレーションファイルは、該当するすべてのCisco Unified IP Phone 7900シリーズデバイスに対してデフォルトで署名されます。

ネットワーク内のシスコデバイスに適用可能な他の対応策は、次のリンクの付属ドキュメント『Identifying and Mitigating Exploitation of the Cisco Unified IP Phone Local Kernel System Call Input Validation Vulnerability』で参照できます。
https://sec.cloudapps.cisco.com/security/center/viewAMBAlert.x?alertId=27763

シスコはこのドキュメントで説明されている脆弱性を修正するソフトウェアバージョン9.4(2)をリリースしました。このアップデートのリリースノートは、次のサイトで確認できます。Cisco Unified IP Phone 7900シリーズリリース9.4(2)

ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt の Cisco Security Advisories and Responses アーカイブや後続のアドバイザリを参照して、侵害を受ける可能性と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center（TAC）もしくは契約しているメンテナンスプロバイダーにお問い合わせください。

$propertyAndFields.get("recommendations")

Cisco Product Security Incident Response Team（PSIRT）では、本アドバイザリに記載されている脆弱性の不正利用事例とその公表は確認しておりません。

この脆弱性は、コロンビア大学のAng Cui氏によってシスコに報告されました。

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130109-uipphone

リビジョン 1.4	2014年11月3日	「要約とソフトウェアバージョンおよび修正」セクションを更新して、コア脆弱性を修正するバージョン9.4(2)のリリースを示しました。
リビジョン 1.3	2013年3月27日	リビジョン1.2のリビジョン履歴テーブルを修正。間違った年が与えられた。
リビジョン 1.2	2013年2月14日	General Serviceリリース9.3(1)SR2のリリースに関する情報を追加。「詳細」セクションに強化に関する情報を追加。
リビジョン 1.1	2013年1月17日	Engineering Specialリリース9.3(1)-ES11に関する情報を追加
リビジョン 1.0	2013年1月9日	初版リリース