Cisco適応型セキュリティアプライアンスソフトウェアおよびFirepower Threat DefenseソフトウェアのVPN認可バイパスの脆弱性

Updated: 2022 年 12 月 19 日

Document ID:SA218411

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

Medium

Download CVRF Email

Medium

アドバイザリーID : cisco-sa-asa-ftd-vp-authz-N2GckjN6

初公開日 : 2022-11-09 16:00

バージョン 1.0 : Final

CVSSスコア : 5.8

回避策 : No workarounds available

Cisco バグ ID : CSCwa81795

CVE-2022-20928

Download CVRF

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

概要

Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアおよびFirepower Threat Defense(FTD)ソフトウェアにおけるVPN接続の認証および許可フローにおける脆弱性により、認証されていないリモートの攻撃者が別のユーザとして接続を確立する可能性があります。

この脆弱性は、VPN認証フロー中の認証検証の欠陥に起因します。攻撃者は、VPN認証中に巧妙に細工されたパケットを送信することで、この脆弱性を不正利用する可能性があります。攻撃者がVPN接続を確立するには、有効なクレデンシャルが必要です。エクスプロイトに成功すると、攻撃者は別のユーザからのアクセス権限でVPN接続を確立できる可能性があります。

シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。この脆弱性に対処する回避策はありません。

このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ftd-vp-authz-N2GckjN6

このアドバイザリは、2022 年 11 月に公開された Cisco ASA、FTD、および FMC のセキュリティアドバイザリバンドルに含まれています。アドバイザリとリンクの一覧については、Cisco Event Response：2022 年 11 月に公開された Cisco ASA、FMC、および FTD ソフトウェアセキュリティアドバイザリバンドル（半期）を参照してください。

該当製品

脆弱性のある製品

この脆弱性は、Cisco ASAソフトウェアまたはCisco FTDソフトウェアの脆弱性が存在するリリースを実行し、Multi-Factor Authentication(MFA)を有効にしたVPNを実行しているシスコ製品に影響を与えました。

公開時点で脆弱性が確認されている Cisco ソフトウェアのリリースについては、このアドバイザリの「修正済みソフトウェア」セクションを参照してください。

脆弱性を含んでいないことが確認された製品

このアドバイザリの脆弱性のある製品セクションに記載されている製品のみが、この脆弱性の影響を受けることが分かっています。

シスコでは、この脆弱性が Cisco Firepower Management Center（FMC）ソフトウェアに影響を及ぼさないことを確認しています。

詳細

この脆弱性が不正利用されると、攻撃者は別のユーザとしてVPN接続を確立できる可能性があります。認可が有効な場合、攻撃者は別のユーザからアクセス権限を取得することで、ネットワークアクセス保護をバイパスできる可能性があります。この脆弱性の悪用による全体的な影響は、さまざまな認可レベルで保護することが想定された資産の重要性に依存するため、組織に固有です。お客様は、この脆弱性の不正利用がネットワークに与える影響を評価し、脆弱性の処理と修復に関する独自のプロセスに従って処理を進める必要があります。

回避策

この脆弱性に対処する回避策はありません。

修正済みソフトウェア

ソフトウェアのアップグレードを検討する際には、シスコセキュリティアドバイザリページで入手できるシスコ製品のアドバイザリを定期的に参照して、侵害を受ける可能性とアップグレードソリューション一式を確認してください。

いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center（TAC）もしくは契約しているメンテナンスプロバイダーにお問い合わせください。

Cisco ASA、FMC、および FTD ソフトウェア

お客様が Cisco ASA、FMC、および FTD ソフトウェアの脆弱性に対するリスクを判断できるように、シスコは Cisco Software Checker を提供しています。このツールを使うことで、特定のソフトウェアリリースに関連するすべてのシスコセキュリティアドバイザリを検索でき、それぞれのアドバイザリで言及された脆弱性を修正した最初のリリース（「First Fixed」）を特定できます。また、該当する場合には、Software Checker により判別されたすべてのアドバイザリに記載のすべての脆弱性が修正された最初のリリース（「Combined First Fixed」）を特定できます。

このツールを使用するには、「Cisco Software Checker」ページの手順に従います。または、次のフォームを使用して、特定のソフトウェアリリースに影響を及ぼす脆弱性を検索します。このフォームを使用するには、次の手順に従います。

ツールで検索するアドバイザリを選択します。すべてのアドバイザリ、セキュリティ影響評価（SIR）が「重大」または「高」のアドバイザリのみ、またはこのアドバイザリのみを選択します。
該当するソフトウェアを選択します。
適切なプラットフォームを選択します（Cisco ASAおよびFTDソフトウェアのみ）。
リリース番号を入力します。たとえば、Cisco ASA ソフトウェアの場合は 16.2.11、Cisco FTD ソフトウェアの場合は 6.6.7 と入力します。
[チェック（Check）] をクリックします。

FTD デバイスのアップグレード手順については、Cisco Firepower Management Center アップグレードガイドを参照してください。

不正利用事例と公式発表

Cisco Product Security Incident Response Team（PSIRT）は、本アドバイザリに記載されている脆弱性の不正利用事例やその公表を確認していません。

出典

この脆弱性は Cisco TAC サポートケースの解決中に発見されました。

URL

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ftd-vp-authz-N2GckjN6

改訂履歴

バージョン	説明	セクション	ステータス	日付
1.0	初回公開リリース	-	Final	2022 年 11 月 9 日

利用規約

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。