Cisco ASA FirePOWER ServicesおよびCisco ASA CX Servicesにおける巧妙に細工されたパケットによるサービス妨害(DoS)の脆弱性

ダウンロード オプション

  • PDF     (370.6 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (86.6 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (77.3 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2015 年 4 月 8 日
Document ID:SA213037

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

High

High

アドバイザリーID : cisco-sa-20150408-cxfp
初公開日 : 2015-04-08 16:00
バージョン 1.0 : Final
CVSSスコア : 7.8
回避策 : No Workarounds available
 

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

概要

Cisco ASA FirePOWER ServicesおよびCisco ASA Context Aware(CX)Servicesの仮想化レイヤにおける脆弱性により、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。

シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。解決策には、Cisco ASA FirePOWER ServicesソフトウェアまたはCisco ASA CX ServicesソフトウェアおよびCisco ASAソフトウェアのアップグレードが含まれます。これらの脆弱性に対しては回避策がありません。このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150408-cxfp

注: Cisco ASAソフトウェアは、Cisco Security Advisory Multiple Vulnerabilities in Cisco ASA Software、cisco-sa-20150408-asaに記載されている他のいくつかの脆弱性の影響を受けます。
Cisco ASAをご使用のお客様は、Cisco ASAソフトウェアのアップグレードリリースを決定する前に、cisco-sa-20150408-asaを確認する必要があります。

Cisco Security Advisory Multiple Vulnerabilities in Cisco ASA Softwareは、次のリンクから入手できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150408-asa

該当製品

脆弱性のある製品

この脆弱性は、以下の製品に影響します。
  • Cisco ASA FirePOWERサービス
  • Cisco ASA Context-Aware(CX)サービス
この脆弱性は、ソフトウェアの設定には依存しません。

Cisco ASA FirePOWER Servicesソフトウェアバージョンの確認

Cisco ASA FirePOWERサービスソフトウェアの実行バージョンを確認するには、Cisco ASA FirePOWERサービスコマンドラインインターフェイスからshow versionコマンドを発行します。管理者はこのコマンドにシリアルコンソール、Cisco ASA FirePOWERサービス管理インターフェイスへのSSHセッション、またはsessionコマンドを使用して親ASAから開いたセッションからアクセスできます。 

次の例は、Cisco ASA FirePOWERソフトウェアバージョン5.4.0を示しています。
> show version

---------[ asasfr ]----------

Model                     : ASA5512 (72) Version 5.4.0 (Build 763)

UUID                      : 1401763c-a7a5-11e4-9cfd-92a5551c2e4f

VDB version               : 225

----------------------------------------------------

Cisco FireSIGHT Management Centerを使用してCisco ASA FirePOWERサービスシステムを管理しているお客様は、Cisco ASA FirePOWERサービスのソフトウェアバージョンをDevices>Device Managementで確認し、デバイス名をダブルクリックできます。

Cisco ASA-CXサービスソフトウェアバージョンの確認

Cisco ASA CXサービスソフトウェアの実行バージョンを確認するには、Cisco ASA CXコマンドラインインターフェイスからshow versionコマンドを発行します。管理者はこのコマンドにシリアルコンソール、ASA CX管理インターフェイスへのSSHセッション、またはsessionコマンドを使用して親ASAから開いたセッションを介してアクセスできます。 

次に、Cisco ASA CXソフトウェアバージョン9.0.1(40)の例を示します。

asangfw>show version
Cisco ASA CX Platform  9.0.1 (40)
Cisco Prime Security Manager(PRSM)を使用してCisco ASA CXデバイスを管理している場合は、Cisco PRSMウィンドウのDevice > DevicesパネルでCisco ASA CXのソフトウェアバージョンを確認できます。

Cisco ASAソフトウェアバージョンの確認

管理者は、show versionコマンドを発行して、Cisco ASAソフトウェアの実行バージョンを確認できます。次の例は、Cisco ASAソフトウェアバージョン9.2(1)を実行しているデバイスを示しています。

ciscoasa#show version | include Version
Cisco Adaptive Security Appliance Software Version 9.2(1) 
Device Manager Version 7.4(1)

Cisco Adaptive Security Device Manager(ASDM)を使用してデバイスを管理している場合は、ログインウィンドウまたはCisco ASDMウィンドウの左上隅に表示される表でソフトウェアバージョンを確認できます。



脆弱性を含んでいないことが確認された製品

次の製品は、この脆弱性の影響を受けません。
  • Cisco ASA 5500-X IPS SSP
  • Cisco FireSIGHT Management Center
  • Cisco FirePOWER 7000アプライアンスシリーズおよびCisco FirePOWER 8000アプライアンスシリーズ
  • Cisco IPS 4500シリーズおよびCisco IPS 4300シリーズ
  • VMware向けCisco Virtual Next-Generation IPS(NGIPSv)
  • Cisco ASA ソフトウェア
  • Cisco Prime Security Manager

他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。

詳細

Cisco ASA FirePOWER ServicesおよびCisco ASA CX Servicesは、Cisco ASA 5500-Xシリーズ次世代ファイアウォール製品に、脅威に重点を置いた独自の次世代セキュリティサービスを提供します。

Cisco ASA FirePOWER Servicesは、既知の脅威や高度な脅威に対する包括的な保護を提供します。これには、標的型の執拗なマルウェア攻撃に対する保護も含まれます。

Cisco ASA CX Servicesは、アプリケーションおよびユーザID認識機能を提供してネットワークトラフィックの可視性と制御を強化することにより、Cisco ASAプラットフォームを拡張するアドオンサービスです。

Cisco ASA FirePOWER ServicesおよびCisco ASA Context Aware(CX)Servicesの仮想化レイヤにおける脆弱性により、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。

この脆弱性は、高いレートで送信される巧妙に細工されたパケットの不適切な処理に起因します。攻撃者は、Cisco ASA FirePOWER ServicesまたはCisco ASA CX Servicesの管理インターフェイスに、巧妙に細工されたパケットを大量に送信することで、この脆弱性を不正利用する可能性があります。


注:この脆弱性の不正利用に使用できるのは、Cisco ASA FirePOWER ServicesまたはCisco ASA CX Servicesの管理インターフェイス宛てのトラフィックのみです。この脆弱性は、IPバージョン4およびIPバージョン6を介して不正利用される可能性があります。この脆弱性の性質上、Cisco ASA FirePOWER ServicesソフトウェアまたはCisco ASA CX Servicesソフトウェアと親Cisco ASAソフトウェアのアップグレードが必要です。

この脆弱性は、Cisco ASA FirePOWER ServicesについてはCisco Bug ID CSCus11007(登録ユーザ専用)に、Cisco ASA CX ServicesについてはCSCun56954(登録ユーザ専用)に記載されています。

Cisco Bug ID CSCuo58584(登録ユーザ専用)およびCSCus13208(登録ユーザ専用)が参照用に提供されており、Cisco ASAソフトウェアでの変更をドキュメント化するために使用されます。

この脆弱性に対してCommon Vulnerabilities and Exposures(CVE)IDとしてCVE-2015-0678が割り当てられています。

回避策

この脆弱性を軽減する回避策はありません。

修正済みソフトウェア

ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt の Cisco Security Advisories, Responses, and Alerts アーカイブや、後続のアドバイザリを参照して侵害の可能性と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。

Cisco ASA FirePOWERサービス

この脆弱性は、Cisco ASA FirePOWERソフトウェア5.3.1.2以降または5.4.0.1以降で修正されています。

この脆弱性の性質上、Cisco ASAソフトウェアもアップグレードして脆弱性を修正する必要があります。

修正を有効にするには、Cisco ASA FirePOWERソフトウェアのアップグレードに加えて、Cisco ASAソフトウェアを次のリリースにアップグレードする必要があります。
  • Cisco ASAソフトウェアリリース9.2(3.3)以降(9.2(3.4)以降)*
  • Cisco ASAソフトウェアリリース9.3(2)以降(9.3(3)以降)*
*Cisco ASAソフトウェアは、Cisco Security Advisory Multiple Vulnerabilities in Cisco ASA Software、cisco-sa-20150408-asaに記載されている他のいくつかの脆弱性の影響を受けます。
Cisco ASAをご使用のお客様は、Cisco ASAソフトウェアのアップグレードリリースを決定する前に、cisco-sa-20150408-asaを確認する必要があります。この作業を容易にするため、cisco-sa-20150408-asaのすべての脆弱性を修正するリリースは太字で示されています。

Cisco Security Advisory Multiple Vulnerabilities in Cisco ASA Softwareは、次のリンクから入手できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150408-asa


Cisco ASA CXサービス

この脆弱性は、Cisco ASA CXソフトウェア9.3.2.1-9以降で修正されています。

この脆弱性の性質上、Cisco ASAソフトウェアもアップグレードして脆弱性を修正する必要があります。

修正を有効にするには、Cisco ASA CXソフトウェアのアップグレードに加えて、Cisco ASAソフトウェアを次のリリースにアップグレードする必要があります。
  • Cisco ASAソフトウェアリリース9.1(5.21)以降(9.1(6.1)以降)*
  • Cisco ASAソフトウェアリリース9.2(3)以降(9.2(3.4)以降)*
  • Cisco ASAソフトウェアリリース9.3(2)以降(9.3(3)以降)*
*Cisco ASAソフトウェアは、Cisco Security Advisory Multiple Vulnerabilities in Cisco ASA Software、cisco-sa-20150408-asaに記載されている他のいくつかの脆弱性の影響を受けます。
Cisco ASAをご使用のお客様は、Cisco ASAソフトウェアのアップグレードリリースを決定する前に、cisco-sa-20150408-asaを確認する必要があります。この作業を容易にするため、cisco-sa-20150408-asaのすべての脆弱性を修正するリリースは太字で示されています。

Cisco Security Advisory Multiple Vulnerabilities in Cisco ASA Softwareは、次のリンクから入手できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150408-asa

注: 上記のリストにあるアップグレード済みCisco ASAソフトウェアリリースのいずれかを実行せずに、Cisco ASA FirePOWERサービスソフトウェアまたはCisco ASA CXソフトウェアを修正済みリリースにアップグレードしても、この脆弱性に対する修正は提供されません。 



推奨事項

$propertyAndFields.get("recommendations")

不正利用事例と公式発表

Cisco Product Security Incident Response Team(PSIRT)は、本アドバイザリに記載されている脆弱性の不正利用事例やその公表を確認していません。

この脆弱性は、サポートケースの解決中に発見されました。

URL

改訂履歴

リビジョン 1.0 2015年4月8日 初回公開リリース

利用規約

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。