複数のシスコ製品のサーバのName Identification Data Exfiltationの脆弱性

ダウンロード オプション

  • PDF     (269.0 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (85.7 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (74.6 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2022 年 12 月 19 日
Document ID:SA217311

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

Medium

Medium

アドバイザリーID : cisco-sa-sni-data-exfil-mFgzXqLN
初公開日 : 2021-08-18 16:00
最終更新日 : 2021-09-27 16:31
バージョン 1.1 : Interim
CVSSスコア : 5.8
回避策 : No workarounds available
 

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

概要

複数のシスコ製品のWebフィルタリング機能の脆弱性により、認証されていないリモートの攻撃者が、該当デバイスでWebレピュテーションフィルタと脅威検出メカニズムをバイパスし、侵害されたホストからブロックされた外部サーバにデータを抽出できる可能性があります。

この脆弱性は、SSL/TLSハンドシェイクにおけるサーバ名識別(SNI)ヘッダーの不十分な検査に起因します。攻撃者は、TLSクライアントのhelloパケットからのデータを使用してブロックされた外部サーバと通信することにより、この脆弱性を不正利用する可能性があります。エクスプロイトに成功すると、保護されたネットワークからデータがエクスプロイトされる可能性があります。攻撃者は、ネットワーク上のホストを侵害して機密データを漏洩させる必要があります。

次のSnortルールを使用して、この脆弱性の不正利用の可能性を検出できます。Snort SID 58062。

この脆弱性に対処する回避策はありません。

このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sni-data-exfil-mFgzXqLN

該当製品

脆弱性のある製品

公開時点では、この脆弱性はリリース2.9.18より前のすべてのオープンソースSnortプロジェクトのリリースに影響を与えました。オープンソースSnortの詳細については、SnortのWebサイトを参照してください。

公開時点では、次のシスコ製品がSSL/TLS復号化オプションを使用して設定され、WebレピュテーションまたはURLフィルタリング機能も使用している場合、この脆弱性の影響を受けました。

  • 3000 シリーズ産業用セキュリティ アプライアンス(ISA)
  • 4000シリーズサービス統合型ルータ(ISR)(4321 ISRを除く)
  • Catalyst 8000V エッジソフトウェア
  • Catalyst 8200 シリーズ エッジ プラットフォーム
  • Catalyst 8300 シリーズ エッジ プラットフォーム
  • Cloud Services Router 1000Vシリーズ(CSR 1000V)
  • Firepower Threat Defense(FTD)ソフトウェア(SSL/TLS復号化オプションが有効な場合)
  • サービス統合型仮想ルータ(ISRv)
  • Webセキュリティアプライアンス(WSA)(物理デバイスと仮想デバイスの両方)をトランスペアレントモードで導入

公開時点で脆弱性が確認されている Cisco ソフトウェアのリリースについては、このアドバイザリの「修正済みソフトウェア」セクションを参照してください。 最も完全で最新の情報については、このアドバイザリの上部にあるバグ ID の詳細セクションを参照してください。

FTDに関するその他の考慮事項

FTDデバイスを脆弱にするには、少なくとも1つのSSL復号化ポリシーを有効にする必要があります。前提条件として、SSL復号化ポリシーを実行中のアクセスコントロールポリシーに関連付ける必要があります。

Cisco FTDソフトウェアでSSL復号化ポリシーが有効になっているかどうかの確認

SSL 復号ポリシーが有効になっているかどうかは、次の 2 つの方法で確認できます。

オプション 1:CLI の使用

CLI コマンドの show ssl-policy-config を使用して、デバイスで SSL 復号ポリシーが有効になっているかどうかを確認します。次の例は、SSL ポリシーが設定されておらず、脆弱性が存在しないデバイスでの show ssl-policy-config コマンドの出力を示します。

> show ssl-policy-config
SSL policy not yet applied.

show ssl-policy-config コマンドによって返されるその他すべての出力は、SSL ポリシーが設定されており、デバイスに脆弱性が存在することを示します。

show ssl-policy-config コマンドの詳細については、Cisco Firepower Threat Defense のコマンドリファレンスを参照してください。

オプション2:GUIの使用

デバイスで SSL 復号ポリシーが有効になっているかどうかを確認するには、適切なポリシーを確認します。

  • Firepower Management Center(FMC)によって管理されているデバイスの場合は、次のように選択します。
    [ポリシー(Policies)] > [アクセスコントロール(Access Control)] > [SSL]
  • Firepower Device Manager(FDM)によって管理されているデバイスの場合は、次のように選択します。
    [ポリシー(Policies)] > [SSL復号(SSL Decryption)]

WSAに関するその他の考慮事項

WSAデバイスが脆弱になるには、HTTPSプロキシ機能を有効にし、少なくとも1つの復号化ポリシーを設定する必要があります。HTTPS プロキシ機能はデフォルトでは、無効になっています。

WSA で HTPPS Proxy 機能がイネーブルかどうかは、管理者が WSA のWeb インターフェイスにログインし、 セキュリティ サービス > HTTPS プロキシ から確認できます。 HTTPS プロキシ フィールドの値は、機能を有効または無効にするかどうかを示します。

脆弱性を含んでいないことが確認された製品

このアドバイザリの脆弱性のある製品セクションに記載されている製品のみが、この脆弱性の影響を受けることが分かっています。

次の製品は、すでにSNIヘッダーを検査しているか、SSL/TLS検査を実行していないか、またはWebレピュテーションやURLフィルタリング機能を使用してデータ漏洩の受信者として使用される可能性のある悪意のあるWebドメインを検出していません。したがって、シスコでは、これらの製品がこの脆弱性の影響を受けないことを確認しています。

  • 1000 シリーズ ISR
  • 4321 ISR
  • 適応型セキュリティ アプライアンス(ASA)ソフトウェア
  • Catalyst 8500 シリーズ エッジ プラットフォーム
  • Firepower Management Center(FMC)ソフトウェア
  • Merakiセキュリティアプライアンス、全モデル
  • オープンソースSnort 3
  • Umbrella

詳細

リモート攻撃者は、SNIcatまたは同様のツールを使用して、任意のサーバに機密データを送信し、TLSクライアントhelloパケットのSNIヘッダー内にデータを隠すことで、この脆弱性を不正利用する可能性があります。この脆弱性は、攻撃者が最初にデータを取得する手段を提供しません。機密情報の収集と漏洩に使用するには、攻撃者がすでに保護されたネットワーク内のホストを侵害している必要があります。

このアドバイザリでは、Webレピュテーションフィルタ、URLフィルタリング、および脅威検出に基づく保護を回避するために使用できるフィルタバイパス技術について説明します。攻撃者が漏洩データを難読化し、悪意のない任意のドメインを受信者として使用する可能性があるため、データ漏洩のすべてのインスタンスを識別するための単純で決定論的な方法はありません。ただし、シスコは現在、Webレピュテーション、URLフィルタリング、または脅威インスペクション機能をSNIヘッダーに拡張するソリューションの開発に取り組んでいます。この修正により、宛先サーバのレピュテーションが低い場合、または管理者によって明示的にブロックされている場合に、この攻撃が軽減されます。このアドバイザリは、このソリューションが利用可能になった時点で更新されます。

その間、SNIcatツールで実行される攻撃を検出して軽減するために、シスコはSIDが58062のSnortルールをリリースしました。完全な保護を確保するには、ルールのアクションを[Block] に設定する必要があります。

回避策

特定のCisco製品に対する回避策については、このアドバイザリの冒頭に記載されているバグIDの「説明」セクションを参照してください。

修正済みソフトウェア

ソフトウェアのアップグレードを検討する際には、シスコ セキュリティ アドバイザリ ページで入手できるシスコ製品のアドバイザリを定期的に参照して、侵害を受ける可能性とアップグレード ソリューション一式を確認してください。

いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。

修正済みリリース

修正済みソフトウェアリリースの詳細については、このアドバイザリの冒頭に記載されているバグIDの「詳細」セクションを参照してください。

不正利用事例と公式発表

Cisco Product Security Incident Response Team(PSIRT)は、アドバイザリで説明されている脆弱性に対して概念実証段階のエクスプロイト コードが入手可能であることを認識しています。

このアドバイザリで説明されている脆弱性の悪用に関する情報は Cisco PSIRT に寄せられていません。

出典

シスコは、この脆弱性を発見し、報告していただいたMnemonicのMorten Marstrander氏とAlvaro Gutierrez氏、およびMatteo Malvica氏に感謝いたします。

URL

改訂履歴

バージョン 説明 セクション ステータス 日付
1.1 脆弱性、影響を受ける製品、および可能性のある対応策に関する追加情報を提供しました。 複数のセクション Interim 2021年9月27日
1.0 初回公開リリース - Interim 2021 年 8 月 18 日

利用規約

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。