High
High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco Meraki MX および Cisco Meraki Z3 テレワーカー ゲートウェイ デバイスの Cisco AnyConnect VPN サーバーにおける脆弱性により、認証されていないリモートの攻撃者が該当デバイスにサービス妨害(DoS)状態を引き起こす可能性があります。
この脆弱性は、SSL VPNセッションの確立中にクライアントが提供するパラメータの検証が不十分であることに起因します。攻撃者は、悪意のあるリクエストを巧妙に作成して該当デバイスに送信することで、この脆弱性をエクスプロイトする可能性があります。エクスプロイトに成功すると、攻撃者は Cisco AnyConnect VPN サーバーをクラッシュおよび再起動させ、その結果、確立された SSL VPN 接続が失敗し、リモートユーザは新しい VPN 接続の開始と再認証を強いられる可能性があります。攻撃が持続的であれば、新しい SSL VPN 接続の確立が妨げられる可能性があります。
注:攻撃トラフィックが停止すると、Cisco AnyConnect VPN サーバーは、手動による介入を必要とせずに正常に回復します。
Cisco Meraki では、この脆弱性に対処するソフトウェアアップデートをリリースしています。この脆弱性に対処する回避策はありません。
このアドバイザリは次のリンクで確認できます。https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-meraki-mx-vpn-dos-vnESbgBf
該当製品
脆弱性のある製品
この脆弱性は、Cisco Meraki MX ファームウェアの脆弱性が存在するリリースを実行し、Cisco AnyConnect VPN が有効になっている次の Cisco Meraki 製品に影響を与えます。
- MX64
- MX64W
- MX65
- MX65W
- MX67
- MX67CW
- MX67W
- MX68
- MX68CW
- MX68W
- MX75
- MX84
- MX85
- MX95
- MX100
- MX105
- MX250
- MX400
- MX450
- MX600
- vMX
- Z3C
- Z3
注:Cisco AnyConnect VPN は、Cisco Meraki MX ファームウェアリリース 16.2 以降が稼働する Cisco Meraki MX シリーズおよび Cisco Meraki Z3 テレワーカー ゲートウェイ デバイスでサポートされます。ただし、Cisco Meraki MX ファームウェアリリース 17.6 以降が稼働している場合にのみ Cisco AnyConnect VPN をサポートする Cisco Meraki MX64 および MX65 は除きます。
脆弱性が存在する Cisco ソフトウェアリリースについては、このアドバイザリの「修正済みソフトウェア」セクションを参照してください。
デバイス設定の確認
Cisco Meraki MX デバイスで Cisco AnyConnect VPN が有効になっているかどうかの確認
Cisco Meraki MX デバイスで Cisco AnyConnect VPN が有効になっているかどうかを確認するには、次の手順を実行します。
- [Dashboard] にログインします。
- 統合ビューで、[Dashboard] > [Configure] > [Client VPN] を選択します。
- [AnyConnect Settings] タブを選択します。
[Enabled] オプションボタンが選択されている場合、デバイスは Cisco AnyConnect VPN をサポートするように設定されています。
[Cisco AnyConnect Settings] タブが表示されていない場合、または [Disabled] オプションボタンが選択されている場合、デバイスはこのアドバイザリで説明されている脆弱性の影響を受けません。
Cisco Meraki で Cisco AnyConnect VPN が有効になっているかどうかの確認 Z3 テレワーカー ゲートウェイ デバイス
Cisco Meraki Z3 テレワーカー ゲートウェイ デバイスで Cisco AnyConnect VPN が有効になっているかどうかを確認するには、次の手順を実行します。
- [Dashboard] にログインします。
- 統合ビューで、[Teleworker gateway] > [Configure] > [Client VPN] を選択します。
- [AnyConnect Settings] タブを選択します。
[Enabled] オプションボタンが選択されている場合、デバイスは Cisco AnyConnect VPN をサポートするように設定されています。
[Cisco AnyConnect Settings] タブが表示されていない場合、または [Disabled] オプションボタンが選択されている場合、デバイスはこのアドバイザリで説明されている脆弱性の影響を受けません。
脆弱性を含んでいないことが確認された製品
このアドバイザリの脆弱性のある製品セクションに記載されている製品のみが、この脆弱性の影響を受けることが分かっています。
シスコは、この脆弱性が以下のシスコ製品には影響を与えないことを確認しました。
- Meraki MX 60
- Meraki MX 80
- Meraki MX 90
- Meraki Z1
- 適応型セキュリティ アプライアンス(ASA)ソフトウェア
- Firepower Threat Defense(FTD)ソフトウェア
- IOS ソフトウェア
- IOS XE ソフトウェア
詳細
Cisco Meraki MX シリーズおよび Cisco Meraki Z3 テレワーカー ゲートウェイ デバイスは、リモート ネットワーク アクセス用に次の 2 つの VPN サービスをサポートしています。
- レイヤー 2 トンネリングプロトコル(L2TP)または IPsec トンネリングプロトコルを使用するクライアント VPN
- Transport Layer Security(TLS)および Datagram TLS(DTLS)プロトコルを使用し、一般に SSL VPN と呼ばれる Cisco AnyConnect VPN
Cisco Meraki MX シリーズと Cisco Meraki Z3 テレワーカー ゲートウェイ デバイスの両方で、クライアント VPN(L2TP/IPsec)および Cisco AnyConnect VPN(SSL)サービスを同時に有効にできます。
この脆弱性は、TLS および DTLS パケットの処理に存在するため、Cisco AnyConnect VPN が設定されているデバイスにのみ影響します。クライアント VPN(L2TP/IPsec)のみを通じてリモート ネットワーク アクセスを提供するように設定されているデバイスは、この脆弱性の影響を受けません。
回避策
この脆弱性に対処する回避策はありません。Cisco Meraki では、管理者がデバイスを修正済みのソフトウェアリリースにアップグレードすることを推奨しています。Cisco AnyConnect VPN を無効にすると、このアドバイザリに記載されている脆弱性に対する攻撃ベクトルが排除されます。
修正済みソフトウェア
Cisco Meraki では、このアドバイザリに記載された脆弱性に対処する無償のソフトウェアアップデートをリリースしています。
お客様がインストールしたりサポートを受けたりできるのは、ライセンスをご購入いただいたソフトウェアリリースとフィーチャセットに対してのみとなります。お客様は、このようなソフトウェアアップグレードをインストール、ダウンロード、アクセス、またはその他の方法で使用することにより、シスコ エンド ユーザー ライセンス契約および該当する製品固有の条件に従うことに同意したことになります。
https://www.cisco.com/c/en/us/products/end-user-license-agreement.html
また、お客様がソフトウェアをダウンロードできるのは、Cisco Meraki から直接、あるいは Cisco Meraki 認定リセラーやパートナーから、ソフトウェアの有効なライセンスを取得している場合に限ります。通常、これは以前購入したソフトウェアのメンテナンス アップグレードです。無償のセキュリティ ソフトウェア アップデートによって、お客様に新しいソフトウェア ライセンス、追加ソフトウェア フィーチャ セット、またはメジャー リビジョン アップグレードに対する権限が付与されることはありません。
お客様は、[Cisco Security Advisories] ページで入手できる Cisco Meraki 製品のアドバイザリを定期的に参照して、侵害を受ける可能性と完全なアップグレード ソリューションを確認することをお勧めします。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。Cisco Meraki は、ファームウェアの更新にファームウェアのベストプラクティスを利用することを推奨しています。情報が明確でない場合は、Cisco Meraki サポートに問い合わせることをお勧めします。
修正済みリリース
発行時点では、次の表に示すリリース情報は正確でした。Cisco Meraki は、必要に応じてこのアドバイザリを更新します。
左の列には Cisco Meraki MX ファームウェアリリースが、右の列には、そのリリースがこのアドバイザリに記載されている脆弱性の影響を受けたかどうか、およびこの脆弱性に対する修正を含むリリースが示されています。Cisco Meraki MX シリーズと Cisco Meraki Z3 テレワーカーゲートウェイはどちらも Cisco Meraki MX ファームウェアを実行します。したがって、次の表の情報は両方のプラットフォームに適用されます。
| Cisco Meraki MX ファームウェアリリース | この脆弱性に対する修正リリース |
|---|---|
| 16.2 より前 | Not affected |
| 16.2 以降 | 16.16.6 |
| 17.x | 17.10.1 |
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)および Cisco Meraki Incident Response Team は、本アドバイザリに記載されている脆弱性のエクスプロイト事例は確認していません。
出典
この脆弱性は Cisco Meraki サポートケースの解決中に発見されました。
URL
改訂履歴
| バージョン | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.1 | アドバイザリのステータスを暫定から最終に変更。 | Header | Final | 2022 年 10 月 19 日 |
| 1.0 | 初回公開リリース | — | Interim | 2022 年 10 月 19 日 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。