Cisco Security Advisory: Cisco Secure Access Control System Unauthorized Password Change Vulnerability

2011 年 3 月 30 日 - ライター翻訳版
その他のバージョン: PDFpdf | 英語版 (2011 年 3 月 30 日) | フィードバック


Advisory ID: cisco-sa-20110330-acs

http://www.cisco.com/warp/public/707/cisco-sa-20110330-acs.shtml

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

Revision 1.0

For Public Release 2011 March 30 1600 UTC (GMT)


要約

Cisco Secure Access Control System(ACS)の一部バージョンには、リモートの認証されていない攻撃者が、アカウントの以前のパスワードを提供することなく、任意のユーザ アカウントのパスワードを任意の値に変更できる脆弱性が存在します。 この脆弱性の不正利用を成功させるには、ユーザ アカウントが 内部アイデンティティ ストアにおいて定義されている必要があります。

この脆弱性を悪用することにより、ACS データベースに対するその他の変更が実行されることはありません。つまり、攻撃者はアクセス ポリシーやデバイス プロパティ、またはユーザ パスワード以外のアカウント属性を変更することはできません。

シスコはこの脆弱性に対処する無償のソフトウェア アップデートをリリースしました。この脆弱性に対する回避策はありません。

このアドバイザリは次のリンクに掲載されます。 http://www.cisco.com/warp/public/707/cisco-sa-20110330-acs.shtml

該当製品

脆弱性が存在する製品

次の Cisco Secure ACS バージョンがこの脆弱性の影響を受けます。

  • パッチ 3、4、5 のいずれか(またはこれらパッチの任意の組み合わせ)がインストールされており、パッチ 6 以降がインストールされていない Cisco Secure ACS バージョン 5.1
  • パッチがインストールされていない Cisco Secure ACS バージョン 5.2
  • パッチ 1 または 2(あるいは両方)がインストールされており、パッチ 3 以降がインストールされていない Cisco Secure ACS バージョン 5.2

上記は、当該製品のハードウェア アプライアンスおよびソフトウェアのみのバージョンの両方に該当します。

どのバージョンの Cisco Secure ACS がインストールされているかは、次の方法で判別できます。

  • Cisco Secure ACS コマンドライン インターフェイス(CLI)で、 show version コマンドを実行します。次に例を示します。
    acs51a/admin# show version
    
    Cisco Application Deployment Engine OS Release: 1.2
    ADE-OS Build Version: 1.2.0.152
    ADE-OS System Architecture: i386
    
    Copyright (c) 2005-2009 by Cisco Systems, Inc.
    All rights reserved.
    Hostname: acs51a
    
    
    Version information of installed applications
    ---------------------------------------------
    
     
    Cisco ACS VERSION INFORMATION
    -----------------------------
    Version : 5.1.0.44.6
    Internal Build ID : B.2347
    Patches : 
    5-1-0-44-3
    5-1-0-44-6
    
    acs51a/admin#
  • Cisco Secure ACS の Web ベース インターフェイスのメイン ログイン ページで、画面左側にバージョン情報が表示されます。
  • Cisco Secure ACS の Web ベースのインターフェイスからログインして、 画面右上角にある [About] リンクをクリックします。

Cisco Secure ACS バージョン 5.1 はバージョン 5.1.0.44 として表示され、Cisco Secure ACS バージョン 5.2 はバージョン 5.2.0.26 として表示されます。バージョン番号の後ろに追加された数字は、インストールされている最高のパッチ レベルを表します。たとえば、バージョン番号 5.1.0.44.3 は、Cisco Secure ACS バージョン 5.1 にパッチ 3 がインストールされていることを示します。バージョン文字列の後ろに数字が追加されていない場合、Cisco Secure ACS バージョンにパッチがインストールされていないことを表します。

脆弱性が存在しない製品

次の Cisco Secure ACS バージョンはこの脆弱性の影響を受けません。

  • バージョン 5.1 より前のすべての Cisco Secure ACS バージョン
  • パッチがインストールされていない、またはパッチ 6 以降がインストールされている Cisco Secure ACS バージョン 5.1
  • パッチ 1 または 2(あるいは両方)がインストールされている Cisco Secure ACS バージョン 5.1
  • パッチ 3、4、5 のいずれか(またはこれらパッチの任意の組み合わせ)がインストールされており、パッチ 6 以降もインストールされている Cisco Secure ACS バージョン 5.1
  • パッチ 1 または 2(あるいは両方)がインストールされており、パッチ 3 以降もインストールされている Cisco Secure ACS バージョン 5.2
  • パッチ 3 以降がインストールされている Cisco Secure ACS バージョン 5.2

上記は、当該製品のハードウェア アプライアンスおよびソフトウェアのみのバージョンの両方に該当します。

他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。

詳細

Cisco Secure ACS は集中管理型 RADIUS および TACACS+ サーバとして動作します。これによって、ユーザ認証、ユーザおよび管理者のデバイス アクセス コントロール、およびポリシー コントロールを、集中管理されたアイデンティティ ネットワーキング ソリューションで実現します。

Cisco Secure ACS の一部バージョンには、リモートの認証されていない攻撃者が、アカウントの以前のパスワードを提供することなく、任意のユーザ アカウントのパスワードを任意の値に変更できる脆弱性が存在します。 この脆弱性の不正利用を成功させるには、ユーザ アカウントが内部アイデンティティ ストアにおいて定義されている必要があります。

この脆弱性を悪用することにより、次のユーザ アカウント タイプのパスワードが変更されることはありません

  • Lightweight Directory Access Protocol(LDAP)サーバ、Microsoft Active Directory サーバ、RSA SecurID サーバ、外部 RADIUS サーバなど、外部アイデンティティ ストアで定義されているユーザ アカウント
  • Web ベースのインターフェイスで設定された、Cisco Secure ACS サーバ用システム管理者アカウント
  • username ユーザ名 password パスワード CLI コマンドを通して設定された、Cisco Secure ACS サーバ用ユーザ アカウント

この脆弱性を悪用することにより、ACS データベースに対するその他の変更が実行されることはありません。つまり、攻撃者はアクセス ポリシーやデバイス プロパティ、またはユーザ パスワード以外のユーザ属性を変更することはできません。

この脆弱性は Cisco Bug ID CSCtl77440 登録ユーザのみ)として文書化され、CVE ID として CVE-2011-0951 が割り当てられています。

脆弱性スコア詳細

シスコはこのアドバイザリでの脆弱性に対して Common Vulnerability Scoring System(CVSS)に基づいたスコアを提供しています。このセキュリティ アドバイザリでの CVSS スコアは CVSS バージョン 2.0 に基づいています。

CVSS は、脆弱性の重要度を示唆するもので、緊急性および対応の優先度を決定する手助けとなる標準ベースの評価法です。

シスコは基本評価スコア(Base Score)および現状評価スコア(Temporal Score)を提供しています。お客様はこれらを用いて環境評価スコア(Environmental Score)を算出し、個々のネットワークにおける脆弱性の影響度を導き出すことができます。

シスコは次の URL にて CVSS に関する FAQ を提供しています。

http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html

また、シスコは個々のネットワークにおける環境影響度を算出する CVSS 計算ツールを以下の URL にて提供しています。

http://tools.cisco.com/security/center/cvssCalculator.x

CSCtl77440 - Able to arbitrarily change user account passwords

Calculate the environmental score of CSCtl77440

CVSS Base Score - 5.0

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

None

None

Partial

None

CVSS Temporal Score - 4.4

Exploitability

Remediation Level

Report Confidence

High

Official-Fix

Confirmed

影響

この脆弱性の不正利用に成功した場合、攻撃者は内部アイデンティティ ストアに定義された任意のユーザ アカウントのパスワードを変更することができます。パスワードが変更されると、攻撃者はそのクレデンシャルを使用してそのユーザになりすますことができます。ユーザには新しいパスワードが分からないため、攻撃者はユーザの認証を阻止することもできます。

ソフトウェア バージョンおよび修正

ソフトウェアのアップグレードを検討する際には、 http://www.cisco.com/go/psirt/ および本アドバイザリ以降に公開のアドバイザリも参照して、起こりうる障害と完全なアップグレード ソリューションを判断してください。

いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報が不明確な場合は、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンス プロバイダーにお問い合わせください。

この脆弱性は、最初に次の Cisco Secure ACS ソフトウェア パッチで修正されています。

  • Cisco Secure ACS バージョン 5.1
    ファイル 5-1-0-44-6.tar.gpg - ACS 5.1.0.44 累積パッチ 6
  • Cisco Secure ACS バージョン 5.2
    ファイル 5-2-0-26-3.tar.gpg - ACS 5.2.0.26 累積パッチ 3

これらの Cisco ACS パッチは、Cisco.com 内の Software Center からダウンロードできます。 http://www.cisco.com/cisco/software/navigator.html leavingcisco.com登録 leavingcisco.com ユーザのみ)。次のパスを使用してパッチにアクセスできます。

  • Security > Identity Management > Cisco Secure Access Control System > Cisco Secure Access Control System 5.1
  • Security > Identity Management > Cisco Secure Access Control System > Cisco Secure Access Control System 5.2

回避策

この脆弱性に対する回避策はありません。

攻撃される個所を制限することは、既知の限定された管理ステーション群のみに Cisco Secure ACS Web ベース管理インターフェイスへのアクセスを許可することで可能です。これらのアクセス コントロール ルールは、『Cisco Secure ACS User Guide』の「Managing System Administrators」章にある「Configuring Administrator Access Settings」セクションに記載された指示に従って、デバイスそのもので設定することができます。 http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_system/5.1/user/guide/admin_admin.html#wp1069174 leavingcisco.com

Cisco Secure ACS は、オプションで User Change Password(UCP)Web サービスを提供しています。お客様は Web ベースのフロントエンド アプリケーション、またはスクリプト インターフェイスを通して UCP 機能を実装できます。いずれの場合もパスワード変更を実行するには、UCP サービスをクライアントに提供するコンピュータが、ACS サーバの TCP ポート 443 にアクセスする必要があります。このアクセスによって、本アドバイザリで説明した脆弱性の不正利用が可能になる場合があるため、次の推奨事項の両方が適用されます。

  • UCP サービスの提供停止
  • UCP サービス(Web ベースまたはスクリプト)を提供するコンピュータを、ACS サーバにアクセスが許可される管理ステーション群に含めない

修正済みソフトウェアの入手

シスコはこの脆弱性に対処する無償のソフトウェア アップデートをリリースしました。ソフトウェアの導入を行う前にお客様のメンテナンス プロバイダーにご相談いただくか、ソフトウェアのフィーチャ セットの互換性およびお客様のネットワーク環境に特有の問題に関してご確認ください。

お客様がインストールしたりサポートを受けたりできるのは、ご購入いただいたフィーチャ セットに対してのみとなります。そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は http://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.html に記載のシスコのソフトウェア ライセンスの条項または、Cisco.com Downloads の http://www.cisco.com/public/sw-center/sw-usingswc.shtml に説明のあるその他の条項に従うことに同意したことになります。

ソフトウェアのアップグレードに関し、psirt@cisco.com もしくは security-alert@cisco.com にお問い合わせいただくことはご遠慮ください。

サービス契約をご利用のお客様

サービス契約をご利用のお客様は、通常のアップデート チャネルからアップグレード ソフトウェアを入手してください。ほとんどのお客様は、シスコのワールドワイド Web サイト上の Software Center からアップグレードを入手することができます。 http://www.cisco.com

サードパーティのサポート会社をご利用のお客様

シスコ パートナー、正規販売代理店、サービス プロバイダーなど、サードパーティのサポート会社と以前に契約していたか、または現在契約しており、その会社からシスコ製品の提供または保守を受けているお客様は、該当するサポート会社に連絡し、本脆弱性に関する適切な処置について指示と支援を受けてください。

回避策の効果は、使用製品、ネットワーク トポロジー、トラフィックの性質や組織の目的などのお客様の状況に依存します。影響製品が多種多様であるため、回避策を実際に展開する前に、対象とするネットワークで適用する回避策が最適であるか、お客様のサービス プロバイダーやサポート会社にご相談ください。

サービス契約をご利用でないお客様

シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティ ベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、Cisco Technical Assistance Center(TAC)に連絡してアップグレードを入手してください。TAC の連絡先は次のとおりです。

  • +1 800 553 2447(北米内からのフリー ダイヤル)
  • +1 408 526 7209(北米以外からの有料通話)
  • 電子メール:tac@cisco.com

無償アップグレードの対象であることをご証明いただくために、製品のシリアル番号と、このお知らせの URL をご用意ください。サービス契約をご利用でないお客様に対する無償アップグレードは、TAC 経由でご要求いただく必要があります。

さまざまな言語向けの各地の電話番号、説明、電子メール アドレスなどの、この他の TAC の連絡先情報については、 http://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html を参照してください。

不正利用事例と公式発表

Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例とその公表は確認しておりません。

この脆弱性はシスコ内部でのテストによって発見されました。

この通知のステータス:FINAL

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。またシスコシステムズはいつでも本ドキュメントの変更や更新を実施する権利を有します。

後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して単独の転載や意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。

情報配信

本アドバイザリは、次のシスコのワールドワイド Web サイト上に掲載されます。

http://www.cisco.com/warp/public/707/cisco-sa-20110330-acs.shtml

ワールドワイド Web 以外にも、次の電子メールおよび Usenet ニュースの受信者向けに、この通知のテキスト版が Cisco PSIRT PGP キーによるクリア署名つきで投稿されています。

  • cust-security-announce@cisco.com
  • first-bulletins@lists.first.org
  • bugtraq@securityfocus.com
  • vulnwatch@vulnwatch.org
  • cisco@spot.colorado.edu
  • cisco-nsp@puck.nether.net
  • full-disclosure@lists.grok.org.uk
  • comp.dcom.sys.cisco@newsgate.cisco.com

このアドバイザリに関する今後の更新は、いかなるものもシスコのワールドワイド Web サイトに掲載される予定です。 しかしながら、前述のメーリング リストもしくはニュースグループに対し積極的に配信されるとは限りません。この問題に関心があるお客様は上記 URL にて最新情報をご確認いただくことをお勧めいたします。

更新履歴

Revision 1.0

2011-March-30

Initial public release.

シスコ セキュリティ手順

シスコ製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およびシスコからセキュリティ情報を入手するための登録方法について詳しく知るには、シスコ ワールドワイド Web サイトの http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html にアクセスしてください。このページには、シスコのセキュリティ通知に関してメディアが問い合わせる際の指示が掲載されています。すべてのシスコ セキュリティ アドバイザリは http://www.cisco.com/go/psirt/ で確認することができます。