Medium
Medium
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco IOSソフトウェアのログイン拡張機能(ログインブロック)の複数の脆弱性により、認証されていないリモートの攻撃者が該当システムのリロードを引き起こし、その結果サービス妨害(DoS)状態が発生する可能性があります。
これらの脆弱性の詳細については、このセキュリティアドバイザリの「詳細情報」セクションを参照してください。
両方の脆弱性に対処する回避策はありません。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-slogin
該当製品
脆弱性のある製品
これらの脆弱性は、Cisco IOSソフトウェアリリース15.4(2)T、15.4(3)M、または15.4(2)CG以降を実行しているシスコデバイスに影響を与えます。
Cisco IOS ソフトウェア リリースの判別
デバイス上で実行されている Cisco IOS ソフトウェア リリースは、管理者がデバイスにログインして、CLI で show version コマンドを使用し、表示されるシステム バナーを参照することにより確認できます。デバイスが Cisco IOS ソフトウェアを実行している場合、システム バナーに「Cisco Internetwork Operating System Software」や「Cisco IOS Software」などのテキストが表示されます。バナーにはインストールされたイメージ名もカッコ内に表示され、その後ろに、Cisco IOS ソフトウェアのリリース番号とリリース名が表示されます。一部のシスコ デバイスでは、show version コマンドをサポートしていなかったり、別の出力が表示されたりします。
次に、Cisco IOS ソフトウェア リリース 15.5(2)T1 が実行されていて、インストールされているイメージ名が C2951-UNIVERSALK9-M であるデバイスでのコマンド出力例を示します。
Router> show version
Cisco IOS Software, C2951 Software (C2951-UNIVERSALK9-M), Version 15.5(2)T1, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2015 by Cisco Systems, Inc.
Compiled Mon 22-Jun-15 09:32 by prod_rel_team
.
.
.
Cisco IOS ソフトウェア リリースの命名と番号付けの規則に関する詳細は、『Cisco IOS and NX-OS Software Reference Guide』を参照してください。
脆弱性を含んでいないことが確認された製品
詳細
Cisco IOSログイン拡張機能(ログインブロック)機能
Cisco IOSログイン拡張機能(ログインブロック)機能を使用すると、DoS攻撃の可能性が検出されたときに以降のログイン試行を自動的にブロックするオプションを設定することで、ルータのセキュリティを強化できます。
この機能によって導入されたログインブロックおよびログイン遅延オプションは、TelnetまたはSSH仮想接続に対して設定できます。この機能を有効にすると、接続試行の失敗が複数検出された場合に「休止期間」を強制することで「辞書攻撃」を遅らせることができ、これによってルーティングデバイスをDoS攻撃から保護できます。
ログイン拡張機能(ログインブロック)機能の詳細については、『Cisco IOSセキュリティ設定ガイド』を参照してください。
脆弱性の詳細
Cisco IOSソフトウェアのログイン拡張機能(ログインブロック)機能における2つの脆弱性により、認証されていないリモートの攻撃者が該当デバイスのリロードを引き起こし、その結果サービス妨害(DoS)状態が発生する可能性があります。
これらの脆弱性は互いに依存していないため、一方の脆弱性を悪用しても他方の脆弱性を悪用する必要はありません。また、いずれかの脆弱性の影響を受けるリリースであっても、他の脆弱性の影響は受けない場合があります。
これらの脆弱性の詳細については、次のとおりです。
Cisco IOSソフトウェアのログインブロックにおけるDoS脆弱性
Cisco IOSソフトウェアのログイン拡張機能(ログインブロック)の脆弱性により、認証されていないリモートの攻撃者が該当システムのリロードを引き起こし、その結果サービス妨害(DoS)状態が発生する可能性があります。
この脆弱性は、以前に割り当てられていないメモリ領域を解放しようとする試みに起因します。攻撃者は、Secure Shell(SSH)または無効なクレデンシャルのTelnetを複数回使用して該当デバイスへのログインを試みることにより、この脆弱性を不正利用する可能性があります。
この脆弱性は、次の両方の条件が満たされている場合にのみ不正利用が可能です。
- login quiet-mode access-classは、login block-forを設定する前に設定されています。これらの機能は、デフォルトでは有効になっていません。
- その設定が行われてから、デバイスはリロードされていません。
この脆弱性のCommon Vulnerabilities and Exposures(CVE)IDはCVE-2018-0179です。
この脆弱性のSecurity Impact Rating(SIR)はMediumです。
この脆弱性のCisco Bug IDはCSCuy32360です。
Cisco IOSソフトウェアのログインブロックにおけるDoS脆弱性
Cisco IOSソフトウェアのログイン拡張機能(ログインブロック)の脆弱性により、認証されていないリモートの攻撃者が該当システムのリロードを引き起こし、その結果サービス妨害(DoS)状態が発生する可能性があります。
この脆弱性は、以前に割り当てられていないメモリ領域を解放しようとする試みに起因します。管理者がlogin block-for設定を変更している間に、攻撃者が無効なクレデンシャルを使用してSSHまたはTelnet経由で該当デバイスへのログインを複数回試行することで、この脆弱性をエクスプロイトする可能性があります。
この脆弱性は、該当デバイスでlogin block-forが設定されている場合にのみ不正利用が可能です。この機能はデフォルトでは有効になっていません。
この脆弱性のCVE IDはCVE-2018-0180です。
この脆弱性のSIRはMediumです。
この脆弱性のCisco Bug IDはCSCuz60599です。
セキュリティ侵害の痕跡
次の状態は、セキュリティ侵害が発生したことを示している可能性があります。
Cisco IOSソフトウェアのログインブロックにおけるDoS脆弱性 – CSCuy32360
デバイスがクラッシュしてリロードする直前に、デバイスは次の例のようなメッセージを少なくとも2回記録します。
%SEC_LOGIN-4-LOGIN_FAILED: Login failed [user: USERNAME] [Source: xx.xx.xx.xx [localport: 22] [Reason: Login Authentication Failed] at 03:37:06 UTC Sat Feb 13 2016
%SEC_LOGIN-1-QUIET_MODE_ON: Still timeleft for watching failures is 52 secs, [user: USERNAME] [Source: xx.xx.xx.xx] [localport: 22] [Reason: Login Authentication Failed] [ACL: LOGIN_ACL] at 03:37:06 UTC Sat Feb 13 2016
この脆弱性がエクスプロイトされると、該当するデバイスでcrashinfoファイルが生成されます。Cisco Technical Assistance Center(TAC)に連絡してshow tech-supportコマンドの出力とcrashinfoファイルを確認し、この脆弱性の不正利用によってデバイスが侵害されているかどうかを判断してください。
Cisco IOSソフトウェアのログインブロックにおけるDoS脆弱性 – CSCuz60599
該当するシステムでこの脆弱性が不正利用されると、デバイスは次の例のような、プロセスSecure Loginの不良チャンク参照カウントに関するエラーメッセージをログに記録します。
%SYS-2-CHUNKBADREFCOUNT: Bad chunk reference count, chunk 3F57D864 data 3F589728 refcount FFFFFFFF alloc pc 323635BC. -Process= "Secure Login", ipl= 0, pid= 388
この脆弱性がエクスプロイトされると、該当するデバイスでcrashinfoファイルが生成されます。Cisco Technical Assistance Center(TAC)に連絡してshow tech-supportコマンドの出力とcrashinfoファイルを確認し、この脆弱性の不正利用によってデバイスが侵害されているかどうかを判断してください。
回避策
CSCuy32360で説明されている脆弱性の回避策として、管理者は次のいずれかのアクションを実行できます。
- login quiet-mode access-classを設定する前に、login block-for を設定します
- login block-forとlogin quiet-mode access-classが設定された後に、デバイスがリロードされることを確認します
CSCuz60599で説明されている脆弱性に対処する回避策はありません。
修正済みソフトウェア
修正済みソフトウェアリリースの詳細については、このアドバイザリの冒頭にあるCisco Bug IDを参照してください。
ソフトウェアのアップグレードを検討する際には、[シスコのセキュリティアドバイザリおよびアラート(Cisco Security Advisories and Alerts)] ページで入手できるシスコ製品のアドバイザリを定期的に参照して、侵害を受ける可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)は、2022 年 3 月に、この脆弱性のさらなるエクスプロイトが試みられたことを認識しました。これらの脆弱性が修正済みのソフトウェアリリースにアップグレードすることを、引き続き強くお勧めします。
出典
これらの脆弱性は、Cisco TACサポートケースの解決中に発見されました。
URL
改訂履歴
| バージョン | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.1 | エクスプロイトに関する情報を更新。 | 不正利用事例と公式発表 | Final | 2022-DEC-15 |
| 1.0 | 初回公開リリース | — | Final | 2018年3月28日 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。