Medium
Medium
アドバイザリーID : cisco-sa-20130717-cucm
初公開日 : 2013-07-17 16:00
最終更新日 : 2013-07-17 18:00
バージョン 1.1 : Final
CVSSスコア :
6.8
回避策 :
No Workarounds available
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco Unified Communications Manager(Unified CM)には複数の脆弱性があり、これらを組み合わせて使用することで、認証されていないリモートの攻撃者がユーザクレデンシャルを収集し、権限を昇格させ、コマンドを実行して、脆弱性のあるシステムを完全に制御できるようになります。攻撃に成功すると、認証されていない攻撃者がCisco Unified CMの情報にアクセスし、情報を作成または変更できる可能性があります。
2013年6月6日、フランスのセキュリティ会社Lexfoは、Cisco Unified CMのセキュリティ侵害に使用される複数の脆弱性のデモを含むVoIPセキュリティに関する公開プレゼンテーションを行いました。プレゼンテーション中、研究者は複数の脆弱性を連鎖させた多段階攻撃を実証し、Cisco Unified CMサーバが完全に侵害されることを確認しました。攻撃チェーンでは、次のタイプの脆弱性が使用されました。
シスコはこのアドバイザリに記載された脆弱性のうち3つに対処するCisco Options Package(COP)ファイルをリリースしました。シスコは現在、残りの脆弱性を調査中です。これらの脆弱性を軽減する回避策はありません。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130717-cucm
2013年6月6日、フランスのセキュリティ会社Lexfoは、Cisco Unified CMのセキュリティ侵害に使用される複数の脆弱性のデモを含むVoIPセキュリティに関する公開プレゼンテーションを行いました。プレゼンテーション中、研究者は複数の脆弱性を連鎖させた多段階攻撃を実証し、Cisco Unified CMサーバが完全に侵害されることを確認しました。攻撃チェーンでは、次のタイプの脆弱性が使用されました。
- ブラインドSQL(Structured Query Language)インジェクション
- コマンドインジェクション
- 権限昇格
シスコはこのアドバイザリに記載された脆弱性のうち3つに対処するCisco Options Package(COP)ファイルをリリースしました。シスコは現在、残りの脆弱性を調査中です。これらの脆弱性を軽減する回避策はありません。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130717-cucm
該当製品
脆弱性のある製品
次の製品は、このアドバイザリに記載された脆弱性の影響を受けます。
Cisco Unified CMは、このドキュメントに記載された攻撃に対する脆弱性が確認された唯一の製品です。その他の音声製品も、このアドバイザリに記載されている個々の脆弱性の1つ以上の影響を受ける可能性があります。次の製品は調査中ですが、脆弱性が存在することは確認されていません。
- Cisco Unified Communications Manager 7.1(x)
- Cisco Unified Communications Manager 8.5(x)
- Cisco Unified Communications Manager 8.6(x)
- Cisco Unified Communications Manager 9.0(x)
- Cisco Unified Communications Manager 9.1(x)
Cisco Unified CMは、このドキュメントに記載された攻撃に対する脆弱性が確認された唯一の製品です。その他の音声製品も、このアドバイザリに記載されている個々の脆弱性の1つ以上の影響を受ける可能性があります。次の製品は調査中ですが、脆弱性が存在することは確認されていません。
- Cisco Emergency Responder
- Cisco Unified Contact Center Express
- Cisco Unified Customer Voice Portal
- Cisco Unified Presence Server/Cisco IM and Presenceサービス
- Cisco Unity Connection
脆弱性を含んでいないことが確認された製品
他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。
詳細
Cisco Unified CMは、Cisco IP Telephonyソリューションのコール処理コンポーネントであり、企業のテレフォニー機能を、IP電話、メディア処理デバイス、VoIPゲートウェイ、マルチメディアアプリケーションなどのパケットテレフォニーネットワークデバイスに拡張します。
ブラインドStructured Query Language(SQL)インジェクションの脆弱性
Cisco Unified CMおよび関連製品には、ブラインドSQLインジェクションに関する次の脆弱性が1つ以上存在する可能性があります。この脆弱性は、特定の脆弱性に応じて、認証されているコンテキストまたは認証されていないコンテキストから不正利用される可能性があります。
SQLインジェクションの脆弱性は、SQLクエリの形成に使用される前に、ユーザが指定した要求の適切な検証を実行できないことに起因します。攻撃者は、SQLコマンドを挿入することで、この動作を不正利用する可能性があります。この不正利用により、攻撃者はデータベース内の任意の情報を開示または変更できる可能性があります。
最初に確認された脆弱性は、認証されていないリモートの攻撃者によって悪用される可能性があります。この不正利用により、攻撃者はメタデータを使用してデータベース内に暗号化された情報を再作成できる可能性があります。このメタデータは、暗号化されたクレデンシャルの再構築に使用できます。
この脆弱性は、Cisco Bug ID CSCuh01051(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2013-3404が割り当てられています。この脆弱性は、Cisco Unified CMバージョン9.1(1a)以前に適用されます。
2つ目の脆弱性は、認証されたリモートの攻撃者によって不正利用される可能性があります。この不正利用により、攻撃者はデータベース内の特定のテーブルに追加データを変更または挿入できる可能性があります。
この脆弱性は、Cisco Bug ID CSCuh81766(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2013-3412が割り当てられています。この脆弱性は、Cisco Unified CMバージョン9.1(2)以前に適用されます。
これらの脆弱性は、デフォルトの管理ポートであるTCPポート8080または8443経由で不正利用される可能性があります。
ハードコードされた暗号キー
Cisco Unified Communications Manager(Unified CM)には、データベースに保存されている機密データの暗号化に使用されるハードコードされた暗号キーと、コンピュータテレフォニーインテグレーション(CTI)通信のセキュリティが含まれています。
この問題は、すべてのバージョンのCisco Unified CMで静的対称暗号キーを使用することに起因します。攻撃者は、秘密キーを使用してユーザクレデンシャルを含む機密データを復号化することで、この問題を不正利用する可能性があります。この不正利用により、攻撃者は他の攻撃を使用して取得したユーザクレデンシャルなどの機密システム情報を復号化できる可能性があります。この問題は、Cisco Bug ID CSCsc69187(登録ユーザ専用)に記述されています。この問題は、Cisco Unified CMバージョン9.1(2)以前に該当します。
Cisco Unified Presence Server/IM & Presence Serviceバージョン9.1(2)以前もこの問題に該当します。この問題は、Cisco Bug ID CSCui01756(登録ユーザ専用)に記述されています。
コマンドインジェクションの脆弱性
Cisco Unified Communications Manager(Unified CM)の脆弱性により、認証されたリモートの攻撃者が、データベースユーザの権限を使用して基盤となるオペレーティングシステムでコマンドを実行する可能性があります。
この脆弱性は、ユーザ入力の検証が不適切なことに起因します。攻撃者は、該当する機能に悪意のある入力を送信することで、この脆弱性を不正利用する可能性があります。
この脆弱性は、Cisco Bug ID CSCuh73440(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2013-3402が割り当てられています。この脆弱性は、Cisco Unified CMバージョン9.1(2)以前に適用されます。
特権昇格の脆弱性
Cisco Unified Communications Managerの脆弱性により、認証されたローカルの攻撃者がシステムの特権を昇格できる可能性があります。
この脆弱性は、権限のあるシステムスクリプトまたはバイナリにおける不適切なファイル権限、環境変数、および相対パスに起因します。攻撃者は、特定のシステムスクリプトを変更することで、これらの脆弱性を不正利用する可能性があります。これにより、攻撃者は該当システムを完全に制御できる可能性があります。
この権限昇格の脆弱性の最初の2つはCisco Bug ID CSCuh73454(登録ユーザ専用)とCSCuh87042(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2013-3403が割り当てられています。
3つ目の権限昇格の脆弱性は、Cisco Bug ID CSCui02242(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2013-3434が割り当てられています。
4つ目の権限昇格の脆弱性は、Cisco Bug ID CSCui02276(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2013-3433が割り当てられています。
これらの脆弱性は、Cisco Unified CMバージョン9.1(1a)以前に適用されます。
ブラインドStructured Query Language(SQL)インジェクションの脆弱性
Cisco Unified CMおよび関連製品には、ブラインドSQLインジェクションに関する次の脆弱性が1つ以上存在する可能性があります。この脆弱性は、特定の脆弱性に応じて、認証されているコンテキストまたは認証されていないコンテキストから不正利用される可能性があります。
SQLインジェクションの脆弱性は、SQLクエリの形成に使用される前に、ユーザが指定した要求の適切な検証を実行できないことに起因します。攻撃者は、SQLコマンドを挿入することで、この動作を不正利用する可能性があります。この不正利用により、攻撃者はデータベース内の任意の情報を開示または変更できる可能性があります。
最初に確認された脆弱性は、認証されていないリモートの攻撃者によって悪用される可能性があります。この不正利用により、攻撃者はメタデータを使用してデータベース内に暗号化された情報を再作成できる可能性があります。このメタデータは、暗号化されたクレデンシャルの再構築に使用できます。
この脆弱性は、Cisco Bug ID CSCuh01051(登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)IDとしてCVE-2013-3404が割り当てられています。この脆弱性は、Cisco Unified CMバージョン9.1(1a)以前に適用されます。
2つ目の脆弱性は、認証されたリモートの攻撃者によって不正利用される可能性があります。この不正利用により、攻撃者はデータベース内の特定のテーブルに追加データを変更または挿入できる可能性があります。
この脆弱性は、Cisco Bug ID CSCuh81766(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2013-3412が割り当てられています。この脆弱性は、Cisco Unified CMバージョン9.1(2)以前に適用されます。
これらの脆弱性は、デフォルトの管理ポートであるTCPポート8080または8443経由で不正利用される可能性があります。
ハードコードされた暗号キー
Cisco Unified Communications Manager(Unified CM)には、データベースに保存されている機密データの暗号化に使用されるハードコードされた暗号キーと、コンピュータテレフォニーインテグレーション(CTI)通信のセキュリティが含まれています。
この問題は、すべてのバージョンのCisco Unified CMで静的対称暗号キーを使用することに起因します。攻撃者は、秘密キーを使用してユーザクレデンシャルを含む機密データを復号化することで、この問題を不正利用する可能性があります。この不正利用により、攻撃者は他の攻撃を使用して取得したユーザクレデンシャルなどの機密システム情報を復号化できる可能性があります。この問題は、Cisco Bug ID CSCsc69187(登録ユーザ専用)に記述されています。この問題は、Cisco Unified CMバージョン9.1(2)以前に該当します。
Cisco Unified Presence Server/IM & Presence Serviceバージョン9.1(2)以前もこの問題に該当します。この問題は、Cisco Bug ID CSCui01756(登録ユーザ専用)に記述されています。
コマンドインジェクションの脆弱性
Cisco Unified Communications Manager(Unified CM)の脆弱性により、認証されたリモートの攻撃者が、データベースユーザの権限を使用して基盤となるオペレーティングシステムでコマンドを実行する可能性があります。
この脆弱性は、ユーザ入力の検証が不適切なことに起因します。攻撃者は、該当する機能に悪意のある入力を送信することで、この脆弱性を不正利用する可能性があります。
この脆弱性は、Cisco Bug ID CSCuh73440(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2013-3402が割り当てられています。この脆弱性は、Cisco Unified CMバージョン9.1(2)以前に適用されます。
特権昇格の脆弱性
Cisco Unified Communications Managerの脆弱性により、認証されたローカルの攻撃者がシステムの特権を昇格できる可能性があります。
この脆弱性は、権限のあるシステムスクリプトまたはバイナリにおける不適切なファイル権限、環境変数、および相対パスに起因します。攻撃者は、特定のシステムスクリプトを変更することで、これらの脆弱性を不正利用する可能性があります。これにより、攻撃者は該当システムを完全に制御できる可能性があります。
この権限昇格の脆弱性の最初の2つはCisco Bug ID CSCuh73454(登録ユーザ専用)とCSCuh87042(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2013-3403が割り当てられています。
3つ目の権限昇格の脆弱性は、Cisco Bug ID CSCui02242(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2013-3434が割り当てられています。
4つ目の権限昇格の脆弱性は、Cisco Bug ID CSCui02276(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2013-3433が割り当てられています。
これらの脆弱性は、Cisco Unified CMバージョン9.1(1a)以前に適用されます。
回避策
このドキュメントで説明されている脆弱性に対する回避策はありません。
回避策のその他の詳細については、このアドバイザリに関連する適用対応策速報(https://sec.cloudapps.cisco.com/security/center/viewAMBAlert.x?alertId=29846)を参照してください。
回避策のその他の詳細については、このアドバイザリに関連する適用対応策速報(https://sec.cloudapps.cisco.com/security/center/viewAMBAlert.x?alertId=29846)を参照してください。
修正済みソフトウェア
ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt のシスコ セキュリティ アドバイザリ、応答、および通知のアーカイブや、後続のアドバイザリを参照して侵害の可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
現在、このアドバイザリに記載された脆弱性に対するソフトウェア修正を含むCisco Unified CMバージョンはありません。修正済みソフトウェアが入手可能になり次第、このアドバイザリは更新されます。暫定的に、シスコはCSCuh01051、CSCuh87042、およびCSCuh73454の脆弱性に対処するCisco Options Package(COP)ファイルをリリースしました。
お客様は、修正済みソフトウェアバージョンを待つ間、以前の脆弱性のソリューションとしてCOPファイルをダウンロードしてインストールできます。
このパッケージは次のシステムバージョンにインストールされます:
製品 – > Voice and Unified Communications -> IP Telephony -> Unified Communications Platform -> Cisco Unified Communications Manager -> Cisco Unified Communications Managerバージョン9.1 -> Unified Communications Manager / CallManager / Cisco Unity Connection Utilities-COP-Files
COPファイルは初期攻撃ベクトル(CSCuh01051)を緩和し、文書化された攻撃対象領域を縮小します。該当するすべてのCisco Unified CM製品バージョンにCOPファイルを適用することを強く推奨します。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
現在、このアドバイザリに記載された脆弱性に対するソフトウェア修正を含むCisco Unified CMバージョンはありません。修正済みソフトウェアが入手可能になり次第、このアドバイザリは更新されます。暫定的に、シスコはCSCuh01051、CSCuh87042、およびCSCuh73454の脆弱性に対処するCisco Options Package(COP)ファイルをリリースしました。
お客様は、修正済みソフトウェアバージョンを待つ間、以前の脆弱性のソリューションとしてCOPファイルをダウンロードしてインストールできます。
このパッケージは次のシステムバージョンにインストールされます:
- 7.1.3
- 7.1.5
- 8.5.1
- 8.6.2
- 9.1.1
製品 – > Voice and Unified Communications -> IP Telephony -> Unified Communications Platform -> Cisco Unified Communications Manager -> Cisco Unified Communications Managerバージョン9.1 -> Unified Communications Manager / CallManager / Cisco Unity Connection Utilities-COP-Files
COPファイルは初期攻撃ベクトル(CSCuh01051)を緩和し、文書化された攻撃対象領域を縮小します。該当するすべてのCisco Unified CM製品バージョンにCOPファイルを適用することを強く推奨します。
推奨事項
$propertyAndFields.get("recommendations")
不正利用事例と公式発表
ブラインドSQLインジェクションの脆弱性(CSCuh01051)は、最初にEmerging Defense, LLCからシスコに報告されました。
これらの脆弱性は、2013年6月6日にフランスのレンヌで開催されたSSSTIC 2013 ITセキュリティ会議で、フランスのセキュリティ企業Lexfoによって実証されました。Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性のエクスプロイト事例を確認していません。
これらの脆弱性は、2013年6月6日にフランスのレンヌで開催されたSSSTIC 2013 ITセキュリティ会議で、フランスのセキュリティ企業Lexfoによって実証されました。Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性のエクスプロイト事例を確認していません。
URL
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130717-cucm
改訂履歴
| リビジョン 1.1 | 2013年7月17日 | 権限昇格の脆弱性CSCuh73454およびCSCuh87042(CVE-2013-3403)の修復レベルを修正するためにCVSSスコアを修正。分かりやすくするために、2つの軽微な文言の修正を行いました。 |
| リビジョン 1.0 | 2013年7月17日 | 初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。