High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
この脆弱性は、SIP トラフィックの不適切な処理に起因します。攻撃者は、該当デバイスにおいて特にこの問題を高頻度で発生させるよう設計された SIP 要求を送信することにより、この脆弱性を悪用する可能性があります。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。この脆弱性に対処する回避策はありません。この脆弱性に対処するためのリスク軽減方法があります。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181031-asaftd-sip-dos
該当製品
脆弱性のある製品
Cisco ASA ソフトウェア リリース 9.4 以降および Cisco FTD ソフトウェア リリース 6.0 以降の物理および仮想アプライアンスの両方で、SIP インスペクションが有効になっており、これらのソフトウェアが以下のシスコ製品のいずれかで実行されている場合に、この脆弱性の影響を受けます。
- 3000 シリーズ産業用セキュリティ アプライアンス(ISA)
- Cisco ASA 5500-X シリーズ次世代ファイアウォール製品群
- Cisco Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータ用の ASA サービス モジュール
- 適応型セキュリティ仮想アプライアンス(ASAv)
- FirePOWER 2100 シリーズ セキュリティ アプライアンス
- Firepower 4100 シリーズ セキュリティ アプライアンス
- FirePOWER 9300 ASA セキュリティ モジュール
- FTD Virtual(FTDv)
SIP インスペクションは、Cisco ASA ソフトウェアと Cisco FTD ソフトウェアの両方でデフォルトで有効になっています。アプリケーション インスペクション ポリシーのデフォルト設定の詳細については、Cisco ASA Series Firewall CLI Configuration Guide を参照してください。
Cisco ASA ソフトウェア リリースの確認
デバイスで実行中の Cisco ASA ソフトウェア リリースを確認するために、管理者はデバイスにログインし、CLI で show version コマンドを使用してコマンドの出力を参照できます。デバイスが Cisco ASA ソフトウェア リリース 9.4(4) を実行している場合は、コマンドの出力は次のようになります。
ciscoasa# show version | include Version Cisco Adaptive Security Appliance Software Version 9.4(4) Device Manager Version 7.4(1) . . .
デバイスがCisco Adaptive Security Device Manager(ASDM)を使用して管理されている場合、管理者はCisco ASDMログインウィンドウまたはCisco ASDMホームペインのDevice Dashboardタブに表示される表のリリース情報を参照して、デバイスで実行されているリリースを確認することもできます。
Cisco FTD ソフトウェア リリースの確認
デバイスで実行中の Cisco FTD ソフトウェア リリースを確認するために、管理者はデバイスにログインし、CLI で show version コマンドを使用してコマンドの出力を参照できます。デバイスが Cisco FTD ソフトウェア リリース 6.2.0 を実行している場合、コマンドの出力例は次のようになります。
> show version
---------------------[ ftd ]---------------------
Model : Cisco ASA5525-X Threat Defense (75) Version 6.2.0 (Build 362)
UUID : 2849ba3c-ecb8-11e6-98ca-b9fc2975893c
Rules update version : 2017-03-15-001-vrt
VDB version : 279
----------------------------------------------------
脆弱性を含んでいないことが確認された製品
このアドバイザリの脆弱性のある製品セクションに記載されている製品のみが、この脆弱性の影響を受けることが分かっています。
シスコは、この脆弱性が以下のシスコ製品には影響を与えないことを確認しました。
- ASA 1000V クラウド ファイアウォール
- ASA 5500 シリーズ適応型セキュリティ アプライアンス
セキュリティ侵害の痕跡
このアドバイザリで説明されている脆弱性が活発に不正利用されていると、show conn port 5060 の出力に多数の不完全な SIP 接続が示され、show processes cpu-usage non-zero sorted の出力に高い CPU 使用率が示されます。
この脆弱性の不正利用が成功すると、該当デバイスがクラッシュしてリロードが引き起こされる可能性もあります。デバイスが再起動すると、show crashinfo の出力に DATAPATH スレッドの未知のアボートが示されます。特定のクラッシュがこの脆弱性の不正利用に関連したものであったかどうかを判断するには、これらの情報を用意して Cisco TAC に連絡する必要があります。
回避策
この脆弱性に対処する回避策はありませんが、いくつかの緩和策があります。これらのリスク軽減オプションは、物理および仮想アプライアンスの両方に適用されます。
オプション1:SIPインスペクションを無効にする
SIP インスペクションを無効にすると、この脆弱性の攻撃ベクトルが完全に閉じます。ただし、これは一部の環境には適さない可能性があります。具体的には、SIP インスペクションを無効にすると、NAT が SIP トラフィックに適用されているか、SIP 通信に必要なポートの一部が ACL によって開かれていない場合、SIP 接続が切断されます。
SIP インスペクションを無効にするには、次のように設定します。
- Cisco ASA ソフトウェア
policy-map global_policy
class inspection_default
no inspect sip - Cisco FTD ソフトウェア リリース
configure inspection sip disable注:このコマンドはFTD CLIから発行されます。
オプション2:攻撃ホストをブロックする
ユーザは、アクセスコントロールリスト(ACL)を使用して、接続テーブルに表示される特定の送信元IPアドレスからのトラフィックをブロックできます。ACL を適用したら、必ず、clear conn address <ip_address> コマンドを EXEC モードで実行して、その送信元の既存の接続を消去してください。
あるいは、shun <ip_address> コマンドを EXEC モードで実行して、攻撃ホストを排除することもできます。これにより、設定を変更することなく、その送信元 IP からのすべてのパケットをブロックできます。ただし、この排除は、再起動すると維持されないことに注意してください。
オプション3:送信元アドレス0.0.0.0でフィルタリングする
観察された事例では、攻撃トラフィックの Sent-by アドレスが無効な値である 0.0.0.0 に設定されていたことが判明しています。管理者の環境内でこのパターンの攻撃トラフィックが確認されたら(たとえば、パケット キャプチャによって確認)、次の設定を適用してクラッシュを防止できます。
regex VIAHEADER "0.0.0.0"
policy-map type inspect sip P1
parameters
match message-path regex VIAHEADER
drop
policy-map global_policy
class inspection_default
no inspect sip
inspect sip P1
FTD 6.2 以降では、Cisco Firepower Management Center(FMC)を使用して FlexConfig ポリシーによりこの設定を追加します。
オプション4:レート制限SIPトラフィック
モジュラ ポリシー フレームワーク(MPF)を使用して SIP トラフィックにレート制限をかけることにより、この脆弱性を軽減することもできます。これらのポリシーの実装方法は、各環境で選択された導入仕様と実装方法によって異なります。MPF ポリシー実装の支援を必要とするお客様は、Cisco TAC またはアドバンスド サービス(AS)担当者までお問い合わせください。
注:攻撃者は、スプーフィングされたIPパケットを使用してこの脆弱性を不正利用する可能性があります。
修正済みソフトウェア
Cisco is in the process of releasing free software updates that address the vulnerability described in this advisory.お客様がインストールしたりサポートを受けたりできるのは、ライセンスをご購入いただいたソフトウェア バージョンとフィーチャ セットに対してのみとなります。そのようなソフトウェアアップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は以下のリンクに記載されたシスコのソフトウェアライセンスの条項に従うことに同意したことになります。
https://www.cisco.com/c/en/us/products/end-user-license-agreement.html
また、お客様がソフトウェアをダウンロードできるのは、ソフトウェアの有効なライセンスをシスコから直接、あるいはシスコ認定リセラーやパートナーから取得している場合に限ります。通常、これは以前購入したソフトウェアのメンテナンス アップグレードです。無償のセキュリティ ソフトウェア アップデートによって、お客様に新しいソフトウェア ライセンス、追加ソフトウェア フィーチャ セット、またはメジャー リビジョン アップグレードに対する権限が付与されることはありません。
ソフトウェアのアップグレードを検討する際には、[シスコのセキュリティアドバイザリおよびアラート(Cisco Security Advisories and Alerts)] ページで入手できるシスコ製品のアドバイザリを定期的に参照して、侵害を受ける可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
サービス契約をご利用でないお客様
シスコから直接購入したが Cisco Service Contract をご利用いただいていない場合、また、サードパーティベンダーから購入したが修正済みソフトウェアを POS から入手できない場合は、Cisco TAC に連絡してアップグレードを入手してください。
https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html
無償アップグレードの対象製品であることを証明していただくために、製品のシリアル番号と、本アドバイザリの URL をご用意ください。
Cisco ASA ソフトウェア
| Cisco ASA ソフトウェア リリース | First Fixed Release(修正された最初のリリース) |
|---|---|
| 9.3 と以前1 | 脆弱性なし |
| 9.4 | 9.4.4.27 |
| 9.51 | 最初の修正済み9.6以降のバージョンに移行 |
| 9.6 | 9.6.4.18 |
| 9.71 | 最初の修正済み9.8以降のバージョンに移行 |
| 9.8 | 9.8.3.16 |
| 9.9 | 9.9.2.32 |
| 9.10 | 9.10.1.2 |
1 Cisco ASA ソフトウェアの 9.1 より前のリリース、Cisco ASA ソフトウェア リリース 9.2、9.3、9.5、および 9.7 については、ソフトウェア メンテナンスのマイルストーンが終了しています。この脆弱性の修正を含むサポート対象リリースに移行することをお勧めします。
Cisco FTD ソフトウェア
| Cisco FTD ソフトウェア リリース | この脆弱性に対する最初の修正リリース |
|---|---|
| 6.0 | 固定のリリース 6.1.0 以降に移行します。 |
| 6.0.1 | 固定のリリース 6.1.0 以降に移行します。 |
| 6.1.0 | 6.1.0.7ホットフィックスER |
| 6.2.0 | 6.2.0.6ホットフィックスCE |
| 6.2.1 | 固定のリリース 6.2.2 以降に移行します。 |
| 6.2.2 | 6.2.2.4ホットフィックスBZ |
| 6.2.3 | 6.2.3.7 |
Cisco FirePOWER システム ソフトウェアの修正済みリリースにアップグレードするために、次のいずれかの操作を実行できます。
- Cisco Firepower Management Center(FMC)を使用して管理しているデバイスについては、FMC インターフェイスを使用してアップグレードをインストールし、インストールが完了したら、アクセス コントロール ポリシーを再適用します。インストールされている Snort バージョンは、FMC リリースによって異なります。
- Cisco Adaptive Security Device Manager(ASDM)または Cisco Firepower Device Manager(FDM)を使用して管理しているデバイスについては、ASDM または FDM インターフェイスを使用してアップグレードをインストールし、インストールが完了したらアクセス コントロール ポリシーを再適用します。
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)は、このアドバイザリに記載されている脆弱性が活発に不正利用されていることを認識しています。
出典
この脆弱性は Cisco TAC サポートケースの解決中に発見されました。
URL
改訂履歴
| バージョン | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.5 | 修正済みソフトウェアのセクションを確定。 | 修正済みソフトウェア | Final | 2018-November-16 |
| 1.4 | 「修正済みソフトウェア」セクションを更新。 | 修正済みソフトウェア | Interim | 2018-November-14 |
| 1.3 | 「修正済みソフトウェア」セクションを更新。 | 修正済みソフトウェア | Interim | 2018 年 11 月 6 日 |
| 1.2 | Clarified that both physical and virtual appliances are affected and that disabling SIP on FTD needs to be done via CLI. | 「脆弱性のある製品」、「回避策」 | Interim | 2018 年 11 月 2 日 |
| 1.1 | レート制限による緩和策が追加されました。 | 回避策 | Interim | 2018 年 11 月 1 日 |
| 1.0 | 初回公開リリース | — | Interim | 2018 年 10 月 31 日 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。