Cisco ASA-CX and Cisco PRSM Log Retention Denial of Service Vulnerability

2012 年 9 月 14 日 - ライター翻訳版
その他のバージョン: PDFpdf | 英語版 (2012 年 9 月 12 日) | フィードバック

Advisory ID: cisco-sa-20120912-asacx

http://www.cisco.com/cisco/web/support/JP/111/1116/1116205_cisco-sa-20120912-asacx-j.html

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

Revision 1.0

For Public Release 2012 September 12 16:00  UTC (GMT)


要約

Cisco ASA-CX Context-Aware Security アプライアンスおよび Cisco Prime Security Manager(PRSM)の 9.0.2-103 より前のバージョンには、DoS(サービス拒否)の脆弱性が存在します。

Cisco ASA-CX でこの脆弱性が悪用されると、デバイスによるユーザ トラフィックの処理が停止し、Cisco ASA-CX への管理アクセスができなくなる可能性があります。
Cisco PRSM でこの脆弱性が悪用されると、ソフトウェアが応答しなくなり、利用できなくなる可能性があります。

この脆弱性に対する回避策はありませんが、影響を軽減する方法があります。

シスコはこの脆弱性に対処する無償のソフトウェア アップデートをリリースしました。このアドバイザリは、次のリンク先で確認できます。
http://www.cisco.com/cisco/web/support/JP/111/1116/1116205_cisco-sa-20120912-asacx-j.html

該当製品


脆弱性が存在する製品


Cisco ASA-CX Content-Aware Security の全バージョン、およびバージョン 9.0.2-103 より前の Cisco PRSM ソフトウェアがこのアドバイザリに記載されている脆弱性の影響を受けます。


Cisco ASA-CX Context-Aware Security および Cisco Prime Security Manager ソフトウェア バージョンの確認

Cisco ASA-CX で稼動しているソフトウェア バージョンを確認するには、Cisco ASA-CX コマンド ライン インターフェイスから show version コマンドを発行します。これには、管理者がシリアル コンソール、ASA-CX 管理インターフェイスへの SSH セッション、または session コマンドを使用してペアレント ASA から開かれたセッションを介し、アクセスすることができます。

次の例は、Cisco ASA-CX ソフトウェア バージョン 9.0.1(40) および Cisco PRSM バージョン 9.0.1(40) を示しています。

	asacx> show version
	Cisco ASA CX Platform  9.0.1 (40)
	Cisco Prime Security Manager 9.0.1 (40)

Cisco PRSM を使用して Cisco ASA-CX デバイスを管理しているお客様は、Cisco Prime Security Manager ウィンドウの [Device] > [Devices] で Cisco ASA-CX のソフトウェア バージョンを確認することができます。


稼働している Cisco PRSM ソフトウェアのバージョンを確認するには、Cisco PRSM コマンド ライン インターフェイスから show version コマンドを発行します。これには、管理者が PRSM VMware コンソール、または Cisco PRSM 管理インターフェイスへの SSH セッションを介してアクセスすることができます。

次の例は Cisco PRSM ソフトウェア バージョン 9.0.1(40) を示しています。

	prsm> show version
	Cisco Prime Security Manager 9.0.1 (40) Multi Device prsm-vm



HTTPS を使用して Cisco PRSM にアクセスするお客様は、Cisco Prime Security Manager ウィンドウの [Administration] > [About PRSM] で Cisco PRSM のソフトウェア バージョンを確認することができます。


脆弱性が存在しない製品

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス、Cisco ASA Services Module(ASA-SM)および Cisco Catalyst 6500 シリーズ Firewall Services Module(FWSM)はこの脆弱性の影響を受けません。

他のシスコ製品において、この脆弱性の影響を受けるものは現在確認されていません。 

詳細

Cisco ASA CX Context-Aware Security は、ASA プラットフォームをコンテキスト認識機能で拡張し、可視性と制御能力を高めるアドオン サービス モジュールです。
Cisco Prime Security Manager(PRSM)は、Cisco ASA-CX 用のマルチデバイス管理プラットフォームです。

Cisco ASA-CX および Cisco PRSM には、認証されていないリモートの攻撃者が DoS 状態を引き起こす可能性のある脆弱性が含まれます。

攻撃者は、Cisco ASA-CX または Cisco PRSM の管理インターフェイスに特定のタイプの IPv4 パケットを送信することで、この脆弱性を悪用できる可能性があります。その結果、ログ ファイルが増加して /var/log パーティションが消費されます。 /var/log パーティションがすべて使用されると、Cisco ASA-CX モジュールまたは Cisco PRSM が応答しなくなります。

Cisco ASA-CX デバイスが悪用されると、Cisco ASA-CX が応答しなくなり、ユーザ トラフィックの処理が停止する可能性があります。
Cisco PRSM ソフトウェアが悪用されると、Cisco PRSM が応答しなくなる可能性があります。

ペアレントの Cisco ASA の Modular Policy Framework(MPF)構成によって明確に Cisco ASA-CX に向けられたユーザ トラフィックのみが、このアドバイザリに記載されている脆弱性の影響を受けます。
Cisco PRSM から Cisco ASA-CX への管理トラフィックもこの脆弱性の影響を受けます。


脆弱性が悪用されたかどうかを知る方法

影響を受けるデバイスで脆弱性が悪用されたかどうかを知るには、コマンド ライン インターフェイスで show diskusage コマンドを発行します。

次の例は、影響を受ける Cisco ASA-CX または Cisco PRSM の /var/log の使用状況が 100% に達したときの出力を示しています。

	asacx>show diskusage

FILESYSTEM                          SIZE      AVAILABLE           USE%
/                                   3.0G           2.0G            28%
/boot                             407.2M         307.2M            20%
/var                                9.8G           9.2G             2%
/var/data                         498.1G         466.6G             1%
/var/packages                       9.8G           8.7G             7%
/var/config                         1.1G        1004.5M             3%
/var/db                             3.9G           3.6G             4%
/var/log                            3.9G              0           100%
/var/local                          3.9G           3.6G             4%
/var/data/diagnostics              15.7G          14.8G             1%
/var/data/cores                    15.7G          14.8G             1%

Cisco ASA-CX Context-Aware Security および Cisco Prime Security Manager に関するこの脆弱性は、Cisco bug ID CSCub70603登録ユーザのみ)として文書化され、Common Vulnerabilities and Exposures(CVE)ID として CVE-2012-4629 が割り当てられています。 


脆弱性スコア詳細

シスコはこのアドバイザリでの脆弱性に対して Common Vulnerability Scoring System(CVSS)に基づいたスコアを提供しています。このセキュリティ アドバイザリでの CVSS スコアは CVSS バージョン 2.0 に基づいています。

CVSS は、脆弱性の重要度を示唆するもので、緊急性および対応の優先度を決定する組織の手助けとなる標準ベースの評価法です。

シスコは基本評価スコア(Base Score)および現状評価スコア(Temporal Score)を提供しています。お客様はこれらを用いて環境評価スコア(Environmental Score)を算出し、自身のネットワークにおける脆弱性の影響度を導き出すことができます。

シスコは次のリンクで CVSS に関する追加情報を提供しています。

http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html

また、シスコは個々のネットワークにおける環境影響度を算出する CVSS 計算ツールを次のリンクで提供しています。

http://tools.cisco.com/security/center/cvssCalculator.x/



CSCub70603

Calculate the environmental score of CSCub70603

CVSS Base Score - 7.8

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

None

None

None

Complete

CVSS Temporal Score - 6.4

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed


影響

Cisco ASA-CX Context-Aware Security の脆弱性が悪用されると、デバイスが応答しなくなり、ユーザ トラフィックの処理が停止する可能性があります。

この脆弱性が悪用されると、Cisco PRSM が応答しなくなり、Cisco ASA-CX ソフトウェアの管理に利用できなくなる可能性があります。

ソフトウェア バージョンおよび修正

ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt/ の Cisco Security Advisories and Responses アーカイブや、本アドバイザリ以降に公開のアドバイザリを参照して、起こりうる障害と完全なアップグレード ソリューションを判断してください。

いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報が不明確な場合は、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンス プロバイダーにお問い合わせください。

この脆弱性は、Cisco ASA-CX Context-Aware Security および Cisco Prime Security Manager ソフトウェア バージョン 9.0.2-103 以降ですでに修正されています。


Cisco ASA-CX Context-Aware Security ソフトウェアは、次のリンク先からダウンロードできます。

http://www.cisco.com/cisco/pub/software/portal/select.html?&mdfid=284325223&softwareid=284399944 


Cisco Prime Security Manager ソフトウェアは、次のリンク先からダウンロードできます。


http://www.cisco.com/cisco/pub/software/portal/select.html?&mdfid=284397197&flowid=33362&softwareid=284399945


回避策

この脆弱性に対する回避策はありません。

Cisco ASA-CX で脆弱性が悪用され、トラフィックが中断した場合は、緩和策として、Cisco ASA-CX にユーザ トラフィックを向けるために使用される Cisco ASA の Modular Policy Framework(MPF)構成を削除することができます。これにより、すべてのユーザ トラフィックが Cisco ASA-CX モジュール インスペクションをバイパスし、Cisco ASA を通過できるようになります。

次の例は、Cisco ASA ファイアウォールからCisco ASA-CX への Web トラフィックのリダイレクトを無効にする方法を示しています。

hostname(config)# class-map http_traffic
hostname(config-cmap)# match port tcp eq 80
hostname(config)# policy-map http_traffic_policy
hostname(config-pmap)# class http_traffic
hostname(config-pmap-c)# no cxsc
Cisco Prime Security Manager に類似の緩和策はありません。

ネットワーク内のシスコ デバイスに適用可能な他の対応策は、このアドバイザリの付属ドキュメントにて参照できます。http://tools.cisco.com/security/center/viewAMBAlert.x?alertId=26840

修正済みソフトウェアの入手

シスコはこのアドバイザリに記載された脆弱性に対処する無償のソフトウェア アップデートを提供しています。ソフトウェアの導入を行う前に、お客様のメンテナンス プロバイダーにご相談いただくか、ソフトウェアのフィーチャ セットの互換性およびお客様のネットワーク環境に特有の問題に関してご確認ください。

お客様がインストールしたりサポートを受けたりできるのは、ご購入いただいたフィーチャ セットに対してのみとなります。そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は http://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.html に記載のシスコのソフトウェア ライセンスの条項に従うことに同意したことになります。

サービス契約をご利用のお客様

サービス契約をご利用のお客様は、通常のアップデート チャネルからアップグレード ソフトウェアを入手してください。ほとんどのお客様は、Cisco.com の Software Navigator からアップグレードを入手することができます。http://www.cisco.com/cisco/software/navigator.html

サードパーティのサポート会社をご利用のお客様

シスコ パートナー、正規販売代理店、サービス プロバイダーなど、サードパーティのサポート会社と以前に契約していたか、または現在契約しており、その会社からシスコ製品の提供または保守を受けているお客様は、該当するサポート会社に連絡し、適切な処置について支援を受けてください。

回避策の効果は、使用製品、ネットワーク トポロジー、トラフィックの性質や組織の目的などのお客様の状況に依存します。影響製品およびリリースが多種多様であるため、回避策を実際に展開する前に、対象とするネットワークで適用する回避策または修正が最適であるか、お客様のサービス プロバイダーやサポート会社にご相談ください。

サービス契約をご利用でないお客様

シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティ ベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、Cisco Technical Assistance Center(TAC)に連絡してアップグレードを入手してください。

  • +1 800 553 2447(北米内からのフリー ダイヤル)
  • +1 408 526 7209(北米以外からの有料通話)
  • 電子メール:tac@cisco.com

無償アップグレードの対象であることをご証明いただくために、製品のシリアル番号と、このアドバイザリの URL をご用意ください。サービス契約をご利用でないお客様は TAC を通して無償アップグレードをお求めください。

さまざまな言語向けの各地の電話番号、説明、電子メール アドレスなどの、この他の TAC の連絡先情報については、シスコ ワールドワイドお問い合わせ先を参照してください。http://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html

不正利用事例と公式発表

Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性の不正利用事例とその公表は確認しておりません。

本セキュリティ アドバイザリで説明した脆弱性は、お客様からのサービス リクエストの解決中に発見されました。

この通知のステータス:FINAL

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。またシスコシステムズはいつでも本ドキュメントの変更や更新を実施する権利を有します。

後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して単独の転載や意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。


情報配信

このアドバイザリは次のリンクにある Cisco Security Intelligence Operations に掲載されます。

http://www.cisco.com/cisco/web/support/JP/111/1116/1116205_cisco-sa-20120912-asacx-j.html

また、このアドバイザリのテキスト版が Cisco PSIRT PGP キーによるクリア署名つきで次の電子メールで配信されています。

  • cust-security-announce@cisco.com
  • first-bulletins@lists.first.org
  • bugtraq@securityfocus.com
  • vulnwatch@vulnwatch.org
  • cisco@spot.colorado.edu
  • cisco-nsp@puck.nether.net
  • full-disclosure@lists.grok.org.uk

このアドバイザリに関する今後の更新があれば、Cisco.com に掲載されますが、メーリング リストで配信されるとは限りません。このアドバイザリの URL で更新をご確認いただくことができます。


更新履歴

Revision 1.0 2012-September-12 Initial public release

シスコ セキュリティ手順

シスコ製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関する支援、およびシスコからセキュリティ情報を入手するための登録方法について詳しく知るには、Cisco.com の http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html にアクセスしてください。この Web ページには、シスコのセキュリティ アドバイザリに関してメディアが問い合わせる際の指示が掲載されています。すべてのシスコ セキュリティ アドバイザリは、http://www.cisco.com/go/psirt/ で確認することができます。