Cisco Firepower 1000、2100、3100 および 4200 シリーズ向け Cisco Firepower Threat Defense ソフトウェアの静的ログイン情報の脆弱性

Cisco Firepower 1000、2100、3100、および 4200 シリーズ向け Cisco Firepower Cisco Firepower Threat Defense（FTD）ソフトウェアの脆弱性により、認証されていないローカルの攻撃者が静的ログイン情報を使用して該当システムにアクセスする可能性があります。

この脆弱性は、該当システムにハードコードされたパスワードを持つ静的アカウントが存在することに起因します。攻撃者は、このようなログイン情報を使用して該当システムの CLI にログインすることにより、この脆弱性を不正利用する可能性があります。エクスプロイトに成功すると、該当システムにアクセスされて機密情報の取得、限定的な障害対応アクションの実行、一部の設定オプションの変更などが行われる可能性がある他、デバイスでオペレーティングシステムが起動できなくなり、デバイスを再イメージングしなくてはならない状況に陥る危険性があります。

シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。本脆弱性に対処する回避策がいくつかあります。

このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ftd-statcred-dFC8tXT5

このアドバイザリは、2024 年 10 月に公開された Cisco ASA、FMC、および FTD ソフトウェアのセキュリティ アドバイザリ バンドルに含まれています。アドバイザリとリンクの一覧については、『Cisco Event Response: October 2024 Semiannual Cisco ASA, FMC, and FTD Software Security Advisory Bundled Publication』を参照してください。

Cisco FTD ソフトウェアを実行しているデバイスの CLI にアクセスするには、2 つの方法があります。1 つ目は、リモートアクセス用のターミナルサーバーに接続できる物理シリアルポートを使用する方法です。2 つ目は、デバイスの管理インターフェイスでデフォルトで有効化されている SSH を使用する方法です。SSH はデータインターフェイスでも有効にできます。データインターフェイスで SSH が有効化されているかどうかを確認するには、CLI で show running-config ssh コマンドを実行します。次の出力は、外部インターフェイスで SSH が有効になっていることを示しています。

> show running-config ssh
ssh 10.1.2.0 255.255.255.0 outside
> 

注：show running-config ssh コマンドの結果が出力されない場合、SSH は管理インターフェイスでのみ有効になっています。

SSH によるアクセスはアクセス制御リスト（ACL）で制限できますが、攻撃対象領域が狭まるだけで、脆弱性が軽減されるわけではありません。

デバイスへの管理アクセスの設定方法については、次のドキュメントを参照してください。

• Cisco Firepower Device Manager（FDM）の場合：「管理アクセスの設定」
• Cisco FMC ソフトウェアの場合：「SSH アクセス」

あるデバイスでいずれかの静的アカウントに最近アクセスがあったかを確認するには、zgrep -E "Accepted password for (csm_processes|report|sftop10user|Sourcefire|SRU)" /ngfw/var/log/messages* コマンドを、エキスパートモードから root ユーザーとして実行します。次の出力は、report ユーザーによるアクセスが成功したことが記録されたものです。

> expert
admin@intel-x86-6d:~$ sudo su root
admin@intel-x86-6d:~$ zgrep -E "Accepted password for (csm_processes|report|sftop10user|Sourcefire|SRU)" /ngfw/var/log/messages*
/ngfw/var/log/messages:Jun 17 16:55:56 intel-x86-6d sshd[48987]: Accepted password for report from 10.1.2.3 port 56261 ssh2
admin@intel-x86-6d:~$

注：zgrep -E "Accepted password for (csm_processes|report|sftop10user|Sourcefire|SRU)" /ngfw/var/log/messages* コマンドは改行せずに 1 行で入力する必要があります。

出力が返されない場合は、ログの保持期間中に、対象デバイスの脆弱性のあるアカウントに対するアクセスはなかったということです。保持期間を確認するには、/ngfw/var/log/messages* ファイルに関連付けられている日付の部分を確認します。

この脆弱性の回避策は、修整版リリースにアップグレードできないお客様に使用できます。回避策の実装の調整に関しては、 Cisco Technical Assistance Center（TAC）にお問い合わせください。

シスコはこのアドバイザリに記載された脆弱性に対処する無償のソフトウェアアップデートをリリースしています。通常のソフトウェアアップデートが含まれるサービス契約をお持ちのお客様は、通常のアップデートチャネルからセキュリティ修正を取得する必要があります。

お客様がインストールしたりサポートを受けたりできるのは、ライセンスをご購入いただいたソフトウェア バージョンとフィーチャ セットに対してのみとなります。そのようなソフトウェアアップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は以下のリンクに記載されたシスコのソフトウェアライセンスの条項に従うことに同意したことになります。
https://www.cisco.com/c/en/us/products/end-user-license-agreement.html

また、お客様がソフトウェアをダウンロードできるのは、ソフトウェアの有効なライセンスをシスコから直接、あるいはシスコ認定リセラーやパートナーから取得している場合に限ります。通常、これは以前購入したソフトウェアのメンテナンス アップグレードです。無償のセキュリティ ソフトウェア アップデートによって、お客様に新しいソフトウェア ライセンス、追加ソフトウェア フィーチャ セット、またはメジャー リビジョン アップグレードに対する権限が付与されることはありません。

Cisco.com の シスコサポート & ダウンロードページには、ライセンスとダウンロードに関する情報が記載されています。このページには、[マイデバイス（My Devices）] ツールを使用するお客様のカスタマーデバイスサポート範囲も表示できます。

ソフトウェアのアップグレードを検討する際には、シスコ セキュリティ アドバイザリ ページで入手できるシスコ製品のアドバイザリを定期的に参照して、侵害を受ける可能性とアップグレード ソリューション一式を確認してください。

いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center（TAC）もしくは契約しているメンテナンスプロバイダーにお問い合わせください。

サービス契約をご利用でないお客様

シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、Cisco TAC（https://www.cisco.com/c/ja_jp/support/web/tsd-cisco-worldwide-contacts.html）に連絡してアップグレードを入手してください。

無償アップグレードの対象製品であることを証明していただくために、製品のシリアル番号と、本アドバイザリの URL をご用意ください。

Cisco FTD VDB の更新

システムのリロードが必要になる基本ソフトウェアアップグレードを適用することを望まない場合は、該当デバイスに VDB リリース 388 以降をインストールすることもできます。この VDB リリースをインストールすることで、この脆弱性は解消されます。

Cisco ASA、FMC、および FTD ソフトウェア

お客様が Cisco ASA、FMC、および FTD ソフトウェアの脆弱性に対するリスクを判断できるように、シスコは Cisco Software Checker を提供しています。このツールを使うことで、特定のソフトウェアリリースに関連するすべてのシスコ セキュリティ アドバイザリを検索でき、それぞれのアドバイザリで言及された脆弱性を修正した最初のリリース（「First Fixed」）を特定できます。また、該当する場合には、Software Checker により判別されたすべてのアドバイザリに記載のすべての脆弱性が修正された最初のリリース（「Combined First Fixed」）を特定できます。

このツールを使用するには、「Cisco Software Checker」ページの手順に従います。または、次のフォームを使用して、特定のソフトウェアリリースに影響を及ぼす脆弱性を検索します。このフォームを使用するには、次の手順に従います。

1. ツールで検索するアドバイザリを選択します。すべてのアドバイザリ、セキュリティ影響評価（SIR）が「重大」または「高」のアドバイザリのみ、またはこのアドバイザリのみを選択します。
2. 該当するソフトウェアを選択します。
3. 該当するプラットフォームを選択します。
4. リリース番号を入力します。たとえば、Cisco ASA ソフトウェアの場合は 9.16.2.11、Cisco FTD ソフトウェアの場合は 6.6.7 と入力します。
5. [チェック（Check）] をクリックします。

Cisco FTD デバイスのアップグレード手順については、該当の Cisco FMC アップグレードガイドを参照してください。

Cisco Product Security Incident Response Team（PSIRT）は、本アドバイザリに記載されている脆弱性の不正利用事例やその公表を確認していません。

この脆弱性は Cisco TAC サポートケースの解決中に発見されました。

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。