Cisco 適応型セキュリティ アプライアンスにおけるリモートのコード実行および Denial of Service(DoS)の脆弱性

ダウンロード オプション

  • PDF     (443.5 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (90.3 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (87.9 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2018 年 5 月 17 日
Document ID:null-null

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

Critical

Critical

アドバイザリーID : cisco-sa-20180129-asa1
初公開日 : 2018-01-29 17:00
最終更新日 : 2018-05-17 17:52
バージョン 2.4 : Final
CVSSスコア : 10.0
回避策 : No workarounds available
 

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

概要

2018年2月5日からの更新:詳細な調査の後、シスコはこの脆弱性の影響を受ける追加の攻撃ベクトルと機能を特定しました。また、最初の修正プログラムが不完全であったことが確認されたため、新たな修正コードのバージョンを利用できるようにしました。詳細については、「修正済みソフトウェア」セクションを参照してください。


Cisco 適応型セキュリティ アプライアンス(ASA)ソフトウェアの XML パーサーにおける脆弱性により、認証されていないリモート攻撃者が該当システムをリロードさせたり、リモートからコードを実行したりする可能性があります。また、ASA がメモリ不足のため、バーチャル プライベート ネットワーク(VPN)の認証要求の処理を停止する可能性もあります。

この脆弱性は、悪意のある XML ペイロードを処理する際のメモリの割り当ておよび解放に関する問題に起因しています。攻撃者は、該当システムの脆弱性が存在するインターフェイスに、巧妙に細工された XML パケットを送信してこの脆弱性をエクスプロイトする可能性があります。エクスプロイトに成功すると、任意のコード実行によるシステムのフル コントロール権限取得、該当デバイスのリロード、VPN 認証要求の処理停止を引き起こす可能性があります。

脆弱性が存在するのは、ASA のインターフェイスでセキュア ソケット レイヤ(SSL)サービスまたは IKEv2 Remote Access VPN サービスが有効になっている場合です。この脆弱性がエクスプロイトされるリスクは、攻撃者がインターフェイスにアクセスできるかどうかによって異なります。脆弱性が存在する ASA の機能一覧については、「脆弱性の存在する製品」セクションを参照してください。

シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。この脆弱性の影響を受けるすべての機能に対応できる回避策はありません。

このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1

該当製品

脆弱性のある製品

本脆弱性は、次のシスコ製品上で実行される Cisco ASA ソフトウェアに対して影響を及ぼします。
  • 3000 シリーズ産業用セキュリティ アプライアンス(ISA)
  • ASA 5500 シリーズ適応型セキュリティ アプライアンス
  • Cisco ASA 5500-X シリーズ次世代ファイアウォール製品群
  • Cisco Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータ用の ASA サービス モジュール
  • ASA 1000V クラウド ファイアウォール
  • 適応型セキュリティ仮想アプライアンス(ASAv)
  • FirePOWER 2100 シリーズ セキュリティ アプライアンス
  • Firepower 4110 セキュリティ アプライアンス
  • Firepower 4120 セキュリティ アプライアンス
  • Firepower 4140 セキュリティ アプライアンス
  • Firepower 4150 セキュリティ アプライアンス
  • FirePOWER 9300 ASA セキュリティ モジュール
  • Firepower Threat Defense ソフトウェア(FTD)
  • FTD Virtual(FTDv)

ASA ソフトウェア

次の表では、左の列に脆弱性の存在する Cisco ASA の機能を示します。右の列には、CLI コマンド show running-config で判断可能な、脆弱性の存在するコンフィギュレーションを示しています。

機能 脆弱性の存在するコンフィギュレーション
Adaptive Security Device Manager(ASDM)1
 http server enable <port>
http <remote_ip_address> <remote_subnet_mask> <interface_name>
AnyConnect IKEv2 Remote Access(クライアント サービス有効時)
 crypto ikev2 enable <interface_name> client-services port <port #>
webvpn
   anyconnect enable
AnyConnect IKEv2 Remote Access(クライアント サービス無効時)
 crypto ikev2 enable <interface_name>
webvpn
   anyconnect enable
AnyConnect SSL VPN webvpn
   enable <interface_name>
Cisco Security Manager 2
 http server enable <port>
http <remote_ip_address> <remote_subnet_mask> <interface_name>
クライアントレス SSL VPN webvpn
   enable <interface_name>
カットスルー プロキシ(同じポートで他の脆弱な機能と組み合わせて使用していない限り脆弱性は存在しない)
 aaa authentication listener <interface_name> port <number>
ローカル認証局(CA)
 crypto ca server
 no shutdown
Mobile Device Manager(MDM)プロキシ3
 mdm-proxy
  enable <interface_name>
モバイル ユーザ セキュリティ(MUS) webvpn
 mus password <password>
 mus server enable port <port #>
 mus <address> <mask> <interface_name>
Proxy Bypass
 webvpn
  proxy-bypass
REST API4 rest-api image disk0:/<image name>
rest-api agent
Security Assertion Markup Language(SAML)シングル サインオン(SSO)5 N/A
1ASDM は、http コマンドで設定された範囲の IP アドレスに対してのみ脆弱です。
2 Cisco Security Manager は、http コマンドで設定された範囲の IP アドレスに対してのみ脆弱です。
3 MDM プロキシは、ソフトウェア リリース 9.3.1 からサポートされています。
4 REST API は、ソフトウェア リリース 9.3.2 からサポートされ、http コマンドで設定された範囲の IP アドレスに対してのみ脆弱です。
5 SAML SSO は、ソフトウェア リリース 9.6 からサポートされています。

show asp table socket | include SSL|DTLSコマンドを使用して、任意のTCPポートでSSLまたはDTLSリスニングソケットを検索します。コマンドの実行結果にどちらかのソケットが表示され、ASA デバイスで上記の表の機能が 1 つ以上設定されている場合、そのデバイスには脆弱性が存在すると考えられます。次の例は、SSL と DTLS のリスニング ソケットが設定されている ASA デバイスを示しています。
ciscoasa# show asp table socket | include SSL|DTLS
SSL       00185038  LISTEN     172.16.0.250:443    0.0.0.0:*
SSL       00188638  LISTEN     10.0.0.250:443      0.0.0.0:*
DTLS      0018f7a8  LISTEN     10.0.0.250:443      0.0.0.0:*    
また、show asp table socket stats protocol ssl コマンドを実行し、ベースの SSL システムの統計情報を出力して確認することもできます。SSL の統計情報には、各種受信メッセージの数が表示され、ASA デバイスに脆弱性が存在するかどうかを詳細に確認できます。
ciscoasa# show asp table socket stats protocol ssl
NP SSL System Stats:
  Handshake Started:          83
  Handshake Complete:         60
  SSL Open:                    7
  SSL Close:                 285
  SSL Server:                 84
  SSL Server Verify:           0
  SSL Client:                  0
注:IKEv2の一部の機能セットでは、基盤となるSSL TCPリスニングソケットが有効になっていないにもかかわらず、脆弱性が存在する可能性があります。CLI コマンド show running-config crypto ikev2 を実行すれば、crypto ikev2 enable コマンドがコンフィギュレーションに設定されているかどうかを確認できます。
ciscoasa# show running-config crypto ikev2 | include enable
crypto ikev2 enable Outside
実行コンフィギュレーションに crypto ikev2 enable コマンドが設定されており、anyconnect enable コマンドがグローバル webvpn コンフィギュレーションに含まれている場合、その ASA デバイスにも脆弱性が存在すると考えられます。

実行している ASA ソフトウェア リリースの確認

デバイスで実行している Cisco ASA ソフトウェアが脆弱なリリースにあたるかを確認するには、CLI から管理者権限で show version コマンドを実行します。デバイスが Cisco ASA ソフトウェア リリース 9.2(1) を実行している場合は、コマンドの出力は次の例のようになります。
ciscoasa# show version | include Version
Cisco Adaptive Security Appliance Software Version 9.2(1) 
Device Manager Version 7.4(1)
Cisco Adaptive Security Device Manager(ASDM)を使用してデバイスを管理している場合は、ログイン ウィンドウ、または Cisco ASDM ウィンドウの左上にソフトウェア リリースが表示されます。

FTD ソフトウェア

 この脆弱性は、最初の修正済みソフトウェア リリースより前のすべての FTD リリースに該当します。このリリースには、Firepower のコードと ASA のコードが両方含まれています。詳細については、『Cisco Firepower Compatibility Guide(Cisco Firepower 互換性ガイド)』の「Firepower Threat Defense Devices(Firepower Threat Defense デバイス)」を参照してください。

次の表では、左の列に脆弱性の存在する Cisco FTD の機能を示します。右の列には、CLI コマンド show running-config で判断可能な、脆弱性の存在するコンフィギュレーションを示しています。

 機能 脆弱性の存在するコンフィギュレーション
HTTP サービス有効 1
 http server enable <port #>
http <remote_ip_address> <remote_subnet_mask> <interface_name>
AnyConnect IKEv2 Remote Access(クライアント サービス有効時)2、3
 crypto ikev2 enable <interface_name> client-services port <port #>
webvpn
  anyconnect enable
AnyConnect IKEv2 Remote Access(クライアント サービス無効時)2、3 crypto ikev2 enable <interface_name>
webvpn
  anyconnect enable
AnyConnect SSL VPN2、3 webvpn
  enable <interface_name>
1 HTTP 機能は、Firepower Management Console(FMC)の、[Firepower Threat Defenseプラットフォーム設定(Firepower Threat Defense Platform Settings)] > [HTTP] で有効にできます
2 リモート アクセス VPN 機能は、FMC の [デバイス(Devices)] > [VPN] > [リモートアクセス(Remote Access)]、または、Firepower Device Manager(FDM)の [デバイス(Devices)] > [リモートアクセスVPN(Remote Access VPN)] で有効にできます。
3 リモート アクセス VPN 機能は、ソフトウェア リリース 6.2.2 からサポートされています。

show asp table socket | include SSL|DTLSコマンドを使用して、任意のTCPポートでSSLまたはDTLSリスニングソケットを検索します。コマンドの実行結果にどちらかのソケットが表示され、FTD デバイスで上記表の機能が 1 つ以上設定されている場合、そのデバイスには脆弱性が存在すると考えられます。次の例は、SSL と DTLS のリスニング ソケットが設定されている FTD デバイスを示しています。 
firepower# show asp table socket | include SSL|DTLS
SSL       01ffb648  LISTEN     1.1.1.1:443         0.0.0.0:* 
DTLS      00009438  LISTEN     1.1.1.1:443         0.0.0.0:*
また、show asp table socket stats protocol ssl コマンドを実行し、ベースの SSL システムの統計情報を出力して確認することもできます。SSL の統計情報には、各種受信メッセージの数が表示され、FTD デバイスに脆弱性が存在するかどうかを確認できます。
firepower# show asp table socket stats protocol ssl
NP SSL System Stats:
  Handshake Started:          44
  Handshake Complete:         42
  SSL Open:                    2
  SSL Close:                  77
  SSL Server:                 45
  SSL Server Verify:           0
  SSL Client:                  0
注:IKEv2の一部の機能セットでは、基盤となるSSL TCPリスニングソケットが有効になっていないにもかかわらず、脆弱性が存在する可能性があります。CLI コマンド show running-config crypto ikev2 を実行すれば、crypto ikev2 enable コマンドがコンフィギュレーションに設定されているかどうかを確認できます。
firepower# show running-config crypto ikev2 | include enable
crypto ikev2 enable Outside
実行コンフィギュレーションに crypto ikev2 enable コマンドが設定されており、anyconnect enable コマンドがグローバル webvpn コンフィギュレーションに含まれている場合、その FTD デバイスにも脆弱性が存在すると考えられます。

実行している FTD ソフトウェア リリースの確認

管理者権限で CLI から show version コマンドを使用することにより、FTD リリースを確認できます。デバイスでソフトウェア リリース 6.2.2 が実行されている場合、次の例のようになります。
> show version
---------------------[ ftd ]---------------------
Model : Cisco ASA5525-X Threat Defense (75) Version 6.2.2 (Build 362)
UUID : 2849ba3c-ecb8-11e6-98ca-b9fc2975893c
Rules update version : 2017-03-15-001-vrt
VDB version : 279
----------------------------------------------------

脆弱性を含んでいないことが確認された製品

シスコは、AnyConnect セキュア モビリティ クライアントには脆弱性が存在しないことを確認しています。

他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。

回避策

この脆弱性の影響を受けるすべての機能に対応できる回避策はありません。セキュリティ アプライアンスへの管理アクセスは、既知の信頼されたホストで CLI コマンド http <remote_ip_address> <remote_subnet_mask> <interface_name> を使用する場合に限られます。詳細については、『Cisco Guide to Harden Cisco ASA Firewall(Cisco ASA Firewall のハードニングに関するシスコ ガイド)』の「Enable HTTP Service(HTTP サービスの有効化)」を参照してください。

修正済みソフトウェア

シスコはこのアドバイザリに記載された脆弱性に対処する無償のソフトウェアアップデートをリリースしています。お客様がインストールしたりサポートを受けたりできるのは、ライセンスをご購入いただいたソフトウェア バージョンとフィーチャ セットに対してのみとなります。そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は http://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.html に記載のシスコのソフトウェア ライセンスの条項に従うことに同意したことになります。

また、お客様がソフトウェアをダウンロードできるのは、ソフトウェアの有効なライセンスをシスコから直接、あるいはシスコ認定リセラーやパートナーから取得している場合に限ります。通常、これは以前購入したソフトウェアのメンテナンス アップグレードです。無償のセキュリティ ソフトウェア アップデートによって、お客様に新しいソフトウェア ライセンス、追加ソフトウェア フィーチャ セット、またはメジャー リビジョン アップグレードに対する権限が付与されることはありません。

ソフトウェアのアップグレードを検討する際には、[シスコのセキュリティアドバイザリおよびアラート(Cisco Security Advisories and Alerts)] ページで入手できるシスコ製品のアドバイザリを定期的に参照して、侵害を受ける可能性と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成は新規リリースでも継続して適切なサポートが受けられることを確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。

サービス契約をご利用でないお客様

シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、Cisco TAC(http://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html)に連絡してアップグレードを入手してください。

無償アップグレードの対象製品であることを証明していただくために、製品のシリアル番号と、本アドバイザリの URL をご用意ください。

修正済みリリース

次の表では、左の列に、Cisco ASA ソフトウェアのメジャー リリースを示します。右の列は、メジャー リリースが本アドバイザリに記載している脆弱性に該当するかどうか、また、本脆弱性に対する修正を含む最初のリリースに該当するかどうかを示します。本項に示すように、適切なリリースにアップグレードする必要があります。

Cisco ASA メジャー リリース 
 First Fixed Release(修正された最初のリリース) 
8.x1 影響あり; 9.1.7.23への移行が必要
9.01 影響あり; 9.1.7.23への移行が必要
9.1  9.1.7.23
9.2
9.2.4.27
9.31
影響あり。9.4.4.16に移行してください。
9.4  9.4.4.16
9.51
 影響あり; 9.6.4.3への移行が必要
9.6 9.6.4.3
9.7 9.7.1.21
9.8 9.8.2.20
9.9.1 9.9.1.2
9.9.2 9.9.2.1

1ASA ソフトウェアの 9.1 より前のリリース(すべての 8.x リリースを含む)、ASA リリース 9.3、および 9.5 については、ソフトウェア メンテナンスが終了しています。お客様は、サポートされているリリースに移行する必要があります。

ソフトウェアは、Cisco Software Center で、[製品(Products)] > [セキュリティ(Security)] > [ファイアウォール(Firewalls)] > [適応型セキュリティアプライアンス(ASA)(Adaptive Security Appliances (ASA))] > [ASA 5500-Xシリーズファイアウォール(ASA 5500-X Series Firewalls)] の順に選択すると ASA ハードウェア プラットフォームのリストが表示されますので、そこからダウンロードできます。これらのソフトウェア リリースの大半は、暫定版として表示されます。

FTD ソフトウェア

次の表では、左の列に、Cisco FTD ソフトウェアのメジャー リリースを示します。右の列は、メジャー リリースが本アドバイザリに記載している脆弱性に該当するかどうか、また、本脆弱性に対する修正を含む最初のリリースに該当するかどうかを示します。本項に示すように、適切なリリースにアップグレードする必要があります。FTD ソフトウェア イメージは、利用可能になり次第掲載されます。

Cisco FTD メジャー リリース 
 First Fixed Release(修正された最初のリリース) 
6.0.0 影響あり。6.0.1ホットフィックス以降に移行してください。
6.0.1 Cisco_FTD_Hotfix_BH-6.0.1.5-1.sh(41xx および 9300 を除く全 FTD ハードウェア プラットフォーム用)
Cisco_FTD_SSP_Hotfix_BH-6.0.1.5-1.sh(41xx および 9300 FTD ハードウェア プラットフォーム用)
6.1.0 Cisco_FTD_Hotfix_DZ-6.1.0.7-1.sh(41xx および 9300 を除く全 FTD ハードウェア プラットフォーム用)
Cisco_FTD_SSP_Hotfix_DZ-6.1.0.7-1.sh(41xx および 9300 FTD ハードウェア プラットフォーム用)
6.2.0 Cisco_FTD_Hotfix_BN-6.2.0.5-3.sh(41xx および 9300 を除く全 FTD ハードウェア プラットフォーム用)
Cisco_FTD_SSP_Hotfix_BN-6.2.0.5-3.sh(41xx および 9300 FTD ハードウェア プラットフォーム用)
6.2.1 影響あり。6.2.2ホットフィックスに移行してください。 
6.2.2
 Cisco_FTD_SSP_FP2K_Hotfix_AN-6.2.2.2-4.sh.REL.tar(21xx FTD ハードウェア プラットフォーム用)
Cisco_FTD_SSP_Hotfix_AO-6.2.2.2-1.sh.REL.tar(41xx および 9300 FTD ハードウェア プラットフォーム用)
Cisco_FTD_Hotfix_AO-6.2.2.2-1.sh.REL.tar(その他すべての FTD ハードウェア プラットフォーム用)
6.2.2(Azure) 6.2.2-2011

1 6.2.2.1-73パッチで6.2.2-201をアップグレードする場合は、このドキュメントで説明されている脆弱性に対処するためにthen Cisco_FTD_Hotfix_AO-6.2.2.2-1.sh.REL.tarを適用する必要があります。その他のパッチ バージョンを 6.2.2-201 に適用した場合、この脆弱性は FTDv で対処する状態のままとなります。

ソフトウェアは、Cisco Software Center で、[製品(Products)] > [セキュリティ(Security)] > [ファイアウォール(Firewalls)] > [次世代ファイアウォール(NGFW)(Next-Generation Firewalls (NGFW))] の順に選択すると FTD ハードウェア プラットフォームのリストが表示されますので、そこからダウンロードできます。

不正利用事例と公式発表

Cisco Product Security Incident Response Team(PSIRT)は、本アドバイザリに記載されている脆弱性が公表済みであることを認識しています。このアドバイザリで説明されている脆弱性の悪用に関する情報が Cisco PSIRT に寄せられています。

出典

シスコは、この脆弱性の発見と報告をしていただいた NCC グループの Cedric Halbronn に感謝いたします。

URL

改訂履歴

バージョン 説明 セクション ステータス 日付
2.4 ASAの修正済みリリースの表を更新し、9.9.1と9.9.2の両方のコードトレインの修正オプションを提供。 修正済みソフトウェア Final 2018年5月17日
2.3 Microsoft Azure マーケットプレイスの FTDv の修正済みリリースに関する情報を更新。2 月 5 日の更新情報を元の要約の情報と区別するために、要約セクションに横線を追加。 修正済みソフトウェア Final 2018 年 2 月 16 日
2.2 MUS機能に必要な設定を修正。脆弱性を悪用するために脆弱なFTD設定を明確化。悪意のある使用が試みられたときに更新。 脆弱性のある製品、エクスプロイト事例および公式発表 Final 2018 年 2 月 7 日
2.1 FTD ハードウェア プラットフォームと FTD リリースの対応関係を更新。 修正済みソフトウェア Final 2018 年 2 月 5 日
2.0 本脆弱性をエクスプロイト可能な攻撃ベクトルのタイプの更新および修正済みソフトウェア リリースの変更。 概要、脆弱性のある製品、脆弱性のない製品、回避策、修正済みソフトウェア Final 2018 年 2 月 5 日
1.3 本脆弱性を不正利用する際の脆弱な ASA 設定について明確化。 脆弱性が存在する製品 Final 2018 年 1 月 30 日
1.2 最初の修正済みリリースの表について、8.x リリースに関する情報を更新し、9.9 リリースに関する情報を訂正。 修正済みソフトウェア Final 2018 年 1 月 29 日
1.1 このアドバイザリで説明されている脆弱性の悪用に関する情報が Cisco PSIRT に寄せられていないことを明記。 不正利用事例と公式発表 Final 2018 年 1 月 29 日
1.0 初回公開リリース Final 2018 年 1 月 29 日

利用規約

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。