High
High
アドバイザリーID : cisco-sa-20140319-asyncos
初公開日 : 2014-03-19 16:00
バージョン 1.0 : Final
CVSSスコア :
8.5
回避策 :
No Workarounds available
Cisco バグ ID : CSCug80118
CSCug79377
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco AsyncOS Software for Email Security Appliance(ESA)および Cisco コンテンツ セキュリティ管理アプライアンス(SMA)には、認証されたリモート攻撃者がルート ユーザの特権を使用して任意のコードを実行する可能性がある脆弱性が含まれます。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。これらの脆弱性に対しては回避策がありません。このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140319-asyncos
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。これらの脆弱性に対しては回避策がありません。このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140319-asyncos
該当製品
脆弱性のある製品
脆弱性のあるバージョンのCisco IronPort AsyncOSソフトウェアまたはCisco AsyncOSソフトウェアを実行するCisco ESAおよびCisco SMAのすべてのモデルが、このセキュリティアドバイザリに記載されている脆弱性の影響を受けます。
攻撃者がこの脆弱性を不正利用するには、該当システムでFTPサービスおよびセーフリスト/ブロックリスト(SLBL)サービスを有効にする必要があります。これらのサービスがすでに有効になっているか、少なくとも一時的に有効にするようシステム管理者に強制する必要があります。
注:攻撃を成功させるために、2つのサービスを同時に有効にする必要はありません。
FTPサービスが新しい接続をアクティブにリッスンしているかどうかを確認するには、Cisco ESAまたはCisco SMAのコマンドラインインターフェイス(CLI)からnetstatコマンドを使用して、TCPポート21がLISTEN状態であることを確認します。
次の例は、FTPサービスがアクティブ(LISTEN状態)になっているCisco ESAを示しています。
注:TCPポート21はFTPサービスのデフォルトポートですが、サービスがアクティブになったときに設定できます。お客様は、開いているすべてのポートを調べて、FTPサービスが別のポートで有効になっているかどうかを確認する必要があります。
FTPサービスは、Cisco ESAおよびCisco SMA用のCisco AsyncOSソフトウェアの一部のバージョンでは、デフォルトで有効になっている場合があります。
SLBLサービスが有効になっているかどうかを確認するには、slblconfigコマンドを使用します。次の例は、SLBLサービスが有効になっているCisco ESAを示しています。
攻撃者がこの脆弱性を不正利用するには、該当システムでFTPサービスおよびセーフリスト/ブロックリスト(SLBL)サービスを有効にする必要があります。これらのサービスがすでに有効になっているか、少なくとも一時的に有効にするようシステム管理者に強制する必要があります。
注:攻撃を成功させるために、2つのサービスを同時に有効にする必要はありません。
FTPサービスが新しい接続をアクティブにリッスンしているかどうかを確認するには、Cisco ESAまたはCisco SMAのコマンドラインインターフェイス(CLI)からnetstatコマンドを使用して、TCPポート21がLISTEN状態であることを確認します。
次の例は、FTPサービスがアクティブ(LISTEN状態)になっているCisco ESAを示しています。
ciscoesa> netstat
Choose the information you want to display:
1. List of active sockets.
2. State of network interfaces.
3. Contents of routing tables.
4. Size of the listen queues.
5. Packet traffic information.
[1]>
1. IPv4 only.
2. IPv6 only.
[1]>
Show network addresses as numbers? [N]> y
Avoid truncating addresses? [N]>
Active Internet connections (including servers)
Proto Recv-Q Send-Q Local Address Foreign Address (state)
tcp4 0 0 172.18.254.17.443 *.* LISTEN
tcp4 0 0 172.18.254.17.80 *.* LISTEN
tcp4 0 0 172.18.254.17.25 *.* LISTEN
tcp4 0 0 172.18.254.17.21 *.* LISTEN
注:TCPポート21はFTPサービスのデフォルトポートですが、サービスがアクティブになったときに設定できます。お客様は、開いているすべてのポートを調べて、FTPサービスが別のポートで有効になっているかどうかを確認する必要があります。
FTPサービスは、Cisco ESAおよびCisco SMA用のCisco AsyncOSソフトウェアの一部のバージョンでは、デフォルトで有効になっている場合があります。
SLBLサービスが有効になっているかどうかを確認するには、slblconfigコマンドを使用します。次の例は、SLBLサービスが有効になっているCisco ESAを示しています。
注:SLBLサービスはデフォルトでは有効になっていません。ciscoesa> slblconfig
End-User Safelist/Blocklist: Enabled
[...]
実行中のソフトウェアバージョンの確認
脆弱性のあるバージョンのCisco AsyncOSソフトウェアがCisco ESAで実行されているかどうかを確認するには、versionコマンドを発行します。次の例は、Cisco IronPort AsyncOSソフトウェアバージョン7.6.2-201を実行しているデバイスを示しています。
ciscoesa> version
Current Version
===============
Product: Cisco IronPort X1070 Messaging Gateway(tm) Appliance
Model: X1070
Version: 7.6.2-201
[...]
脆弱性のあるバージョンのCisco AsyncOSソフトウェアがCiscoコンテンツSMAで実行されているかどうかを確認するには、versionコマンドを発行します。次の例は、Cisco IronPort AsyncOSソフトウェアバージョン7.9.1-039を実行しているデバイスを示しています。
ciscosma> version
Current Version
===============
Product: Cisco IronPort M670 Security Management(tm) Appliance
Model: M670
Version: 7.9.1-039
脆弱性を含んでいないことが確認された製品
Cisco Webセキュリティアプライアンス(WSA)用のCisco AsyncOSソフトウェアは、この脆弱性の影響を受けません。
他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。
他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。
詳細
Cisco Eメールセキュリティアプライアンスは、スパム対策、ウイルス対策、および暗号化テクノロジーを組み合わせたEメール管理と保護を提供します。
Ciscoコンテンツセキュリティ管理アプライアンスは、ポリシーとランタイムデータを単一の管理インターフェイスに統合し、Cisco Eメール& Webセキュリティアプライアンスのすべてのレポート作成と監査を行う集中型プラットフォームを提供します。
Cisco Eメールセキュリティアプライアンス(ESA)およびCiscoコンテンツセキュリティ管理アプライアンス(SMA)用Cisco AsyncOSソフトウェアのエンドユーザセーフリスト/ブロックリスト(SLBL)機能の脆弱性により、認証されたリモート攻撃者が該当システムで任意のコードを実行する可能性があります。
この脆弱性は、SLBLデータベースファイルの検証が不十分であることに起因します。攻撃者は、有効なSLBLデータベースファイルを改ざんされたファイルに置き換えることにより、この脆弱性を不正利用する可能性があります。改ざんされたファイルには、特定のイベントがトリガーされたときに(たとえば、SLBLチェックをトリガーする新しい電子メールが受信されたときに)影響を受けるシステムによって実行されるシェルコードが含まれている可能性があります。この脆弱性を不正利用するには、攻撃者はFTPおよびSLBLサービスを少なくとも一時的に有効にし、改ざんされたSLBLデータベースファイルをFTP経由でアップロードするための有効なクレデンシャルを持っている必要があります。
この不正利用により、攻撃者はrootユーザの権限を使用して、該当システムで任意のコードを実行する可能性があります。
この脆弱性は、Cisco ESAのCisco Bug ID CSCug79377(登録ユーザ専用)およびCiscoコンテンツSMAのCSCug80118(登録ユーザ専用)に記載されています。この脆弱性に対してCommon Vulnerabilities and Exposures(CVE)ID CVE-2014-2119が割り当てられています。
Ciscoコンテンツセキュリティ管理アプライアンスは、ポリシーとランタイムデータを単一の管理インターフェイスに統合し、Cisco Eメール& Webセキュリティアプライアンスのすべてのレポート作成と監査を行う集中型プラットフォームを提供します。
Cisco Eメールセキュリティアプライアンス(ESA)およびCiscoコンテンツセキュリティ管理アプライアンス(SMA)用Cisco AsyncOSソフトウェアのエンドユーザセーフリスト/ブロックリスト(SLBL)機能の脆弱性により、認証されたリモート攻撃者が該当システムで任意のコードを実行する可能性があります。
この脆弱性は、SLBLデータベースファイルの検証が不十分であることに起因します。攻撃者は、有効なSLBLデータベースファイルを改ざんされたファイルに置き換えることにより、この脆弱性を不正利用する可能性があります。改ざんされたファイルには、特定のイベントがトリガーされたときに(たとえば、SLBLチェックをトリガーする新しい電子メールが受信されたときに)影響を受けるシステムによって実行されるシェルコードが含まれている可能性があります。この脆弱性を不正利用するには、攻撃者はFTPおよびSLBLサービスを少なくとも一時的に有効にし、改ざんされたSLBLデータベースファイルをFTP経由でアップロードするための有効なクレデンシャルを持っている必要があります。
この不正利用により、攻撃者はrootユーザの権限を使用して、該当システムで任意のコードを実行する可能性があります。
この脆弱性は、Cisco ESAのCisco Bug ID CSCug79377(登録ユーザ専用)およびCiscoコンテンツSMAのCSCug80118(登録ユーザ専用)に記載されています。この脆弱性に対してCommon Vulnerabilities and Exposures(CVE)ID CVE-2014-2119が割り当てられています。
回避策
この脆弱性を軽減する回避策はありません。FTPサービスを無効にすると、SLBLデータベースファイルが悪意のあるファイルに置き換えられるのを防ぐことができるので、この脆弱性の危険性は低くなります。
GUIでFTPサービスを無効にするには、Network > IP Interfacesの順に移動します。各インターフェイスのインターフェイス名をクリックし、EditウィンドウのServices領域にあるFTPチェックボックスのチェックマークを外します。
SLBLを無効にする唯一の方法は、GUIを使用することです。Monitor > Spam Quarantineの順に移動し、End-User Safelist/Blocklist (Spam Quarantine)領域にあるEdit Settingボタンをクリックします。Editウィンドウで、 チェックボックスをオンにして、Submitをクリックします。
GUIでFTPサービスを無効にするには、Network > IP Interfacesの順に移動します。各インターフェイスのインターフェイス名をクリックし、EditウィンドウのServices領域にあるFTPチェックボックスのチェックマークを外します。
または、CLIを使用することもできます。CLI経由でFTPサービスを無効にするには、interfaceconfigコマンドを使用し、インターフェイス設定の編集を選択します。プロンプトが表示されたら、Nと入力してFTPサービスを無効にし、commitコマンドを使用して変更をコミットします。次の例は、Cisco ESAでFTPサービスを無効にする方法を示しています。
ciscoesa> interfaceconfig
Currently configured interfaces:
1. Management (192.168.42.42/24 on Management: ciscoesa)
Choose the operation you want to perform:
- NEW - Create a new interface.
- EDIT - Modify an interface.
- GROUPS - Define interface groups.
- DELETE - Remove an interface.
[]> edit
Enter the number of the interface you wish to edit.
[]> 1
IP interface name (Ex: "InternalNet"):
[Management]>
Would you like to configure an IPv4 address for this interface (y/n)? [Y]>
IPv4 Address (Ex: 192.168.1.2 ):
[192.168.42.42]>
Netmask (Ex: "24", "255.255.255.0" or "0xffffff00"):
[24]>
Would you like to configure an IPv6 address for this interface (y/n)? [N]>
Ethernet interface:
1. Data 1
2. Data 2
3. Management
[3]>
Hostname:
[ciscoesa]>
Do you want to enable Telnet on this interface? [N]>
Do you want to enable SSH on this interface? [Y]>
Which port do you want to use for SSH?
[22]>
Do you want to enable FTP on this interface? [Y]> (Set option to 'N') this will disable the service once change has been committed.
Which port do you want to use for FTP?
[21]>
Do you want to enable Cluster Communication Service on this interface? [N]>
Do you want to enable HTTP on this interface? [Y]>
Which port do you want to use for HTTP?
[80]>
Do you want to enable HTTPS on this interface? [Y]>
Which port do you want to use for HTTPS?
[443]>
Do you want to enable Spam Quarantine HTTP on this interface? [Y]>
Which port do you want to use for Spam Quarantine HTTP?
[82]>
Do you want to enable Spam Quarantine HTTPS on this interface? [Y]>
Which port do you want to use for Spam Quarantine HTTPS?
[83]>
Do you want to enable RSA Enterprise Manager Integration on this interface? [N]>
The "Demo" certificate is currently configured. You may use "Demo", but this will not be secure. To assure privacy, run "certconfig" first.
Both HTTP and HTTPS are enabled for this interface, should HTTP requests redirect to the secure service? [Y]>
Both Spam Quarantine HTTP and Spam Quarantine HTTPS are enabled for this interface, should Spam Quarantine HTTP requests redirect to the secure service? [Y]>
Do you want Management as the default interface for your Spam Quarantine? [N]>
Currently configured interfaces:
1. Management (192.168.42.42/24 on Management: ironport.example.com)
Choose the operation you want to perform:
- NEW - Create a new interface.
- EDIT - Modify an interface.
- GROUPS - Define interface groups.
- DELETE - Remove an interface.
[]>
ciscoese> commit
Please enter some comments describing your changes:
[]> disabled FTP
FTPサービスを無効にすることに加えて、SLBLサービスを無効にすると、悪意のあるSLBLデータベースファイルのコンテンツの実行を防止できるため、この脆弱性による危険性が減少します。
SLBLを無効にする唯一の方法は、GUIを使用することです。Monitor > Spam Quarantineの順に移動し、End-User Safelist/Blocklist (Spam Quarantine)領域にあるEdit Settingボタンをクリックします。Editウィンドウで、 チェックボックスをオンにして、Submitをクリックします。
修正済みソフトウェア
ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt のシスコ セキュリティ アドバイザリ、応答、および通知のアーカイブや、後続のアドバイザリを参照して侵害の可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
次の表に、このアドバイザリに記載された脆弱性を修正する最初のリリースに関する情報を、Cisco ESA用Cisco AsyncOSソフトウェアのメジャーリリースバージョン別に示します。| メジャー リリース |
最初の修正 |
| 7.1以前 |
7.6.3-023 以降に移行 |
| 7.3 | 8.0.1-023 以降に移行 |
| 7.5 | 7.6.3-023 以降に移行 |
| 7.6 | 7.6.3-023 以降 |
| 7.8 | 8.0.1-023 以降に移行 |
| 8.0 | 8.0.1-023 以降 |
| 8.5 | Not affected |
次の表に、このアドバイザリに記載された脆弱性を修正する最初のリリースに関する情報を、Cisco SMA用Cisco AsyncOSソフトウェアのメジャーリリースバージョン別に示します。
| メジャー リリース |
最初の修正 |
| 7.2以前 |
7.9.1-110 以降に移行 |
| 7.7 | 7.9.1-110 以降に移行 |
| 7.8 | 7.9.1-110 以降に移行 |
| 7.9 | 7.9.1-110 以降 |
| 8.0 | 8.1.1-013 以降に移行 |
| 8.1 | 8.1.1-013 以降 |
| 8.2 | Not affected |
| 8.3 | Not affected |
推奨事項
$propertyAndFields.get("recommendations")
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)は、本アドバイザリに記載されている脆弱性の不正利用事例やその公表を確認していません。
この脆弱性はシスコ内部でのセキュリティテストによって発見されました。
URL
改訂履歴
| リビジョン 1.0 | 2014年3月19日 | 初版リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。