High
High
アドバイザリーID : cisco-sa-20151021-asa-dhcp1
初公開日 : 2015-10-21 16:00
最終更新日 : 2015-11-12 14:15
バージョン 1.1 : Final
CVSSスコア :
7.1
回避策 :
No workarounds available
Cisco バグ ID : CSCus56252
CSCus57142
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアのDHCPv6リレー機能における脆弱性により、認証されていないリモートの攻撃者が該当デバイスのリロードを引き起こす可能性があります。
この脆弱性は、DHCPv6パケットの不十分な検証に起因します。Cisco ASAソフトウェアがこの脆弱性の影響を受けるのは、ソフトウェアにDHCPv6リレー機能が設定されている場合のみです。攻撃者は、巧妙に細工されたDHCPv6パケットを該当デバイスに送信することで、この脆弱性を不正利用する可能性があります。
注:この脆弱性は、DHCPv6リレーが有効になっているCisco ASAインターフェイス宛てのDHCPv6パケットによってのみ引き起こされます。この脆弱性は、シングルまたはマルチコンテキストモードにおいて、ルーテッドファイアウォールモードまたはトランスペアレントファイアウォールモードに設定されたシステムに影響します。この脆弱性は、IPv6トラフィックによってのみ引き起こされます。
この脆弱性は、Cisco Bug ID CSCus56252(登録ユーザ専用)およびCSCus57142(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2015-6324が割り当てられています。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。これらの脆弱性に対しては回避策がありません。このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151021-asa-dhcp1
この脆弱性は、DHCPv6パケットの不十分な検証に起因します。Cisco ASAソフトウェアがこの脆弱性の影響を受けるのは、ソフトウェアにDHCPv6リレー機能が設定されている場合のみです。攻撃者は、巧妙に細工されたDHCPv6パケットを該当デバイスに送信することで、この脆弱性を不正利用する可能性があります。
注:この脆弱性は、DHCPv6リレーが有効になっているCisco ASAインターフェイス宛てのDHCPv6パケットによってのみ引き起こされます。この脆弱性は、シングルまたはマルチコンテキストモードにおいて、ルーテッドファイアウォールモードまたはトランスペアレントファイアウォールモードに設定されたシステムに影響します。この脆弱性は、IPv6トラフィックによってのみ引き起こされます。
この脆弱性は、Cisco Bug ID CSCus56252(登録ユーザ専用)およびCSCus57142(登録ユーザ専用)として文書化され、CVE IDとしてCVE-2015-6324が割り当てられています。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。これらの脆弱性に対しては回避策がありません。このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20151021-asa-dhcp1
該当製品
次の製品で実行されているCisco ASAソフトウェアは、この脆弱性の影響を受けます。
影響を受けるリリースの詳細については、このセキュリティアドバイザリの「修正済みソフトウェア」セクションを参照してください。
- Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス
- Cisco ASA 5500-X シリーズ次世代ファイアウォール
- Cisco Catalyst 6500シリーズスイッチおよびCisco 7600シリーズルータ用Cisco ASAサービスモジュール
- Cisco ASA 1000V クラウド ファイアウォール
- Cisco 適応型セキュリティ仮想アプライアンス(ASAv)
影響を受けるリリースの詳細については、このセキュリティアドバイザリの「修正済みソフトウェア」セクションを参照してください。
脆弱性のある製品
Cisco ASAソフトウェアがこの脆弱性の影響を受けるのは、DHCPv6リレー機能が設定されている場合のみです。DHCPv6リレー機能が設定されているかどうかを確認するには、show running-config ipv6 dhcprelayコマンドを使用して、この機能が少なくとも1つのインターフェイスで有効になっていることを確認します。
次の例は、インターフェイスoutsideで有効になっているDHCPv6リレー機能を示しています。
Cisco Adaptive Security Device Manager(ASDM)を使用してデバイスを管理している場合は、ログインウィンドウまたはCisco ASDMウィンドウの左上隅に表示される表でソフトウェアバージョンを確認できます。
次の例は、インターフェイスoutsideで有効になっているDHCPv6リレー機能を示しています。
注:DHCPv6リレー機能はデフォルトでは設定されていません。asa#show running-config ipv6 dhcprelay ipv6 dhcprelay enable outside
実行中のソフトウェアバージョンの確認
脆弱性のあるバージョンのCisco ASAソフトウェアがアプライアンスで実行されているかどうかを確認するには、show versionコマンドを使用します。次に、Cisco ASAソフトウェアバージョン9.2(1)を実行しているアプライアンスでの出力例を示します。ciscoasa# show version | include Version
Cisco Adaptive Security Appliance Software Version 9.2(1)
Device Manager Version 7.4(1)
Cisco Adaptive Security Device Manager(ASDM)を使用してデバイスを管理している場合は、ログインウィンドウまたはCisco ASDMウィンドウの左上隅に表示される表でソフトウェアバージョンを確認できます。
脆弱性を含んでいないことが確認された製品
Cisco FirePOWER 9300 ASAセキュリティモジュールは、この脆弱性の影響を受けません。
他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。
他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。
セキュリティ侵害の痕跡
スレッド名DHCPv6 RelayでCisco ASAデバイスがリロードする場合、この脆弱性の不正利用が示されている可能性があります。
スレッド名はcrashinfoファイルの先頭にリストされます。crashinfoファイルには、show crashinfoコマンドを使用してアクセスできます。次の例は、スレッド名DHCPv6 Relayのcrashinfoファイルを示しています。
注:リロードは巧妙に細工されたDHCPv6パケットによってトリガーされる可能性があるため、すべてのケースが悪意のあるアクティビティによるものとは限りません。
スレッド名はcrashinfoファイルの先頭にリストされます。crashinfoファイルには、show crashinfoコマンドを使用してアクセスできます。次の例は、スレッド名DHCPv6 Relayのcrashinfoファイルを示しています。
この脆弱性のアクティブなエクスプロイトが疑われる場合、クラッシュの原因がこの脆弱性であることを確認するためにトレースバックをデコードするようにサポート組織に連絡する必要があります。ciscoasa# show crashinfo
: Saved_Crash
Thread Name: DHCPv6 Relay
.
.
.
注:リロードは巧妙に細工されたDHCPv6パケットによってトリガーされる可能性があるため、すべてのケースが悪意のあるアクティビティによるものとは限りません。
回避策
この脆弱性を軽減する回避策はありません。ただし、管理者は影響を受ける機能を無効にすることができます。
修正済みソフトウェア
ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt の Cisco Security Advisories and Responses アーカイブや後続のアドバイザリを参照して、侵害を受ける可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成は新規リリースでも継続して適切なサポートが受けられることを確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
次の表では、左の列に、Cisco ASA ソフトウェアのメジャー リリースを示します。中央の列が示すのは、本アドバイザリに記載された脆弱性によるメジャー リリースへの影響の有無、また、本脆弱性に対する修正を含む最初のマイナー リリースです。右の列は、メジャーリリースが次のアドバイザリに記載されているすべての脆弱性の影響を受けるかどうか、およびそれらの脆弱性に対する修正を含むリリースを示しています。
- cisco-sa-20151021-asa-dhcp1(オプション)
- Cisco-SA-20150115-ASA-DHCP
- cisco-sa-20151021-asa-dns1
- cisco-sa-20151021-asa-dns2
- Cisco-SA-20151021-ASA-IKE
次の表に示すように、適切なリリースにアップグレードする必要があります。
| Cisco ASA メジャー リリース | このアドバイザリの最初の修正リリース | 2015年10月のASAセキュリティアドバイザリバンドル公開に含まれるすべてのアドバイザリに対する最初の修正リリース |
|---|---|---|
| 7.2 | Not affected |
該当。8.2(5.58)以降に移行してください。 |
| 8.2 | Not affected |
8.2 (5.58) 以降 |
| 8.3 | Not affected |
該当。8.4(7.29)以降に移行してください。 |
| 8.4 | Not affected |
8.4(7.29) |
| 8.5 | Not affected |
影響あり。9.0(4.37)以降に移行してください。 |
| 8.6 | Not affected |
影響あり。9.0(4.37)以降に移行してください。 |
| 8.7 | Not affected |
8.7 (1.17) 以降 |
| 9.0 |
9.0(4.37) | 9.0 (4.37) 以降 |
| 9.1 | 9.1(6.6) | 9.1 (6.8) 以降 |
| 9.2 | 9.2(4) | 9.2(4) 以降 |
| 9.3 | 9.3(3.6) | 9.3 (3.6) 以降 |
| 9.4 | 9.4(2) |
9.4(2) 以降 |
| 9.5 | Not affected | Not affected |
ソフトウェアのダウンロード
Cisco ASAソフトウェアは、Cisco.comのSoftware Center(http://www.cisco.com/cisco/software/navigator.html)からダウンロードできます。Cisco ASA 5500シリーズ適応型セキュリティアプライアンスおよびCisco ASA 5500-X Next Generation Firewallの場合は、次のパスに移動します。暫定バージョンを検索するには、ダウンロードページの左側でAll Releases > Interimの順にクリックします。
製品>セキュリティ>ファイアウォール>適応型セキュリティアプライアンス(ASA) > ASA 5500シリーズ適応型セキュリティアプライアンス> <Cisco ASAモデル> >適応型セキュリティアプライアンス(ASA)ソフトウェアCisco Catalyst 6500シリーズスイッチおよびCisco 7600シリーズルータ用Cisco ASAサービスモジュールの場合は、次のパスに移動します。暫定バージョンを検索するには、ダウンロードページの左側でAll Releases > Interimの順にクリックします。
製品>シスコインターフェイスおよびモジュール>サービスモジュール> Catalyst 6500シリーズ/7600シリーズASAサービスモジュール>適応型セキュリティアプライアンス(ASA)ソフトウェアCisco ASA 1000Vクラウドファイアウォールの場合は、次のパスに移動します。
「製品」>「セキュリティ」>「ファイアウォール」>「適応型セキュリティアプライアンス(ASA)」>「ASA 1000Vクラウドファイアウォール」Cisco適応型セキュリティ仮想アプライアンス(ASAv)で、次のパスに移動します。
製品>セキュリティ>ファイアウォール>適応型セキュリティアプライアンス(ASA) >適応型セキュリティ仮想アプライアンス(ASAv) >適応型セキュリティアプライアンス(ASA)ソフトウェアCisco FirePOWER 9300 ASAモジュールの場合は、次のパスに移動します。
製品>セキュリティ>ファイアウォール>適応型セキュリティアプライアンス(ASA) > Firepower 9000シリーズ> Firepower 9300セキュリティアプライアンス>適応型セキュリティアプライアンス(ASA)ソフトウェア
推奨事項
$propertyAndFields.get("recommendations")
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)は、本アドバイザリに記載されている脆弱性の不正利用事例やその公表を確認していません。
出典
この脆弱性はシスコ内部でのセキュリティテストによって発見されました。
URL
改訂履歴
| バージョン | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.1 | Cisco ASA 9.3トレインの最初の修正済みリリースと推奨リリースが変更されました。 | 修正済みソフトウェア | Final | 2015-November-12 |
| 1.0 | 初回公開リリース | — | Final | 2015年10月21日 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。