Cisco Unified IP Phone Local Kernel System Call Input Validation Vulnerability

2013 年 3 月 1 日 - ライター翻訳版
その他のバージョン: PDFpdf | 英語版 (2013 年 2 月 14 日) | フィードバック

Advisory ID: cisco-sa-20130109-uipphone

http://www.cisco.com/cisco/web/support/JP/111/1117/1117015_cisco-sa-20130109-uipphone-j.html/

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

Revision 1.2

Last Updated 2013 February 14 22:18 UTC (GMT)

For Public Release 2013 January 9 16:00 UTC (GMT)


要約

Cisco Unified IP Phones 7900 シリーズ バージョン 9.3(1)SR1 以前には、任意のコードが実行される脆弱性が存在します。これにより、ローカルの攻撃者が特権ユーザ権限を使用してコードを実行したり、任意のメモリを改ざんできる可能性があります。

この脆弱性は、ユーザ スペースで稼働しているアプリケーションからカーネル システム コールに送られる入力の検証が正しく行われないことに起因します。攻撃者は、物理アクセス、または SSH を使用した認証アクセスによりデバイスへのローカル アクセスを行うことで、この脆弱性を不正利用するために設計され、かつ攻撃者が制御できるバイナリを実行してこの脆弱性を不正利用する可能性があります。攻撃は、非特権コンテキストから実行される可能性があります。

この問題は Ang Cui 氏によって最初に Cisco Product Security Incident Response Team(PSIRT)に報告されました。Cisco PSIRT は 2012 年 11 月 6 日に、この問題を Cisco bug ID CSCuc83860登録ユーザ専用)のリリース ノート付属文書で公開しました。その後、 Cui 氏は複数の公開会議で講演し、その中で、改ざんされリスニング デバイスとして使用されているデバイスの公開デモンストレーションを行いました。

この問題については、影響を受けるデバイスの攻撃個所を削減するという緩和策があります。詳細情報については、本アドバイザリの「詳細」セクションと、付属ドキュメント『Cisco Applied Mitigation Bulletin』(AMB)を参照してください。

アップデート:
本アドバイザリで記述されている、脆弱性に対する既知の攻撃ベクトルの緩和を可能にするリリースが、シスコのお客様向けに公開されました。このリリースは、利用可能であり、Cisco.com の製品別サポートページからダウンロードが可能です。リリース名は、9.3(1)SR2 です。

このアドバイザリは、次のリンク先で確認できます。
http://www.cisco.com/cisco/web/support/JP/111/1117/1117015_cisco-sa-20130109-uipphone-j.html/

該当製品

この脆弱性は、Cisco Unified IP Phone 7900 シリーズ(TNP 電話とも呼ばれる)に影響を与えます。

脆弱性が認められる製品

このアドバイザリに記載されている脆弱性の影響を受ける Cisco Unified IP Phones 7900 シリーズ デバイスは、以下のとおりです。
  • Cisco Unified IP Phone 7906
  • Cisco Unified IP Phone 7911G
  • Cisco Unified IP Phone 7931G
  • Cisco Unified IP Phone 7941G
  • Cisco Unified IP Phone 7941G-GE
  • Cisco Unified IP Phone 7942G
  • Cisco Unified IP Phone 7945G
  • Cisco Unified IP Phone 7961G
  • Cisco Unified IP Phone 7961G-GE
  • Cisco Unified IP Phone 7962G
  • Cisco Unified IP Phone 7965G
  • Cisco Unified IP Phone 7970G
  • Cisco Unified IP Phone 7971G-GE
  • Cisco Unified IP Phone 7975G

脆弱性が認められない製品

このアドバイザリに記載されている脆弱性の影響を受けない Cisco Unified IP Phones 7900 シリーズ デバイスは、以下のとおりです。
  • Cisco Unified IP Phone 7902G
  • Cisco Unified IP Phone 7905G
  • Cisco Unified IP Phone 7910G
  • Cisco Unified IP Phone 7912G
  • Cisco Unified IP Phone 7940
  • Cisco Unified IP Phone 7960
  • Cisco Unified IP Phone 7985G
  • Cisco Unified Wireless IP Phone 7920 バージョン 1/2/3
  • Cisco Unified Wireless IP Phone 7921G
  • Cisco Unified Wireless IP Phone 7925G
  • Cisco Unified Wireless IP Phone 7925G-EX
  • Cisco Unified Wireless IP Phone 7926G
  • Cisco Unified IP Conference Station 7935
  • Cisco Unified IP Conference Station 7936
  • Cisco Unified IP Conference Station 7937G

この脆弱性の影響を受ける他のシスコ製品は、現在確認されていません。

詳細

Cisco Unified IP Phone 7900 シリーズの複数のモデルに、入力検証における脆弱性が存在します。これにより、ローカルの認証された攻撃者がデバイス内メモリの任意の領域を操作できる可能性があります。これは、カーネル システム コールに送られる、ユーザが提供するパラメータに対して検証が正しく行われないことに起因します。また、攻撃者がデバイスへのローカル アクセスを実行するための複数のアクセス ベクトルが確認されています。具体的には、攻撃者はデバイス背面の AUX ポートから物理アクセスを行うか、最初に SSH 経由でリモートによるデバイス認証を受けることでアクセスを行うことが可能です。Cisco Unified Communications Manager(CallManager)によってデバイスのプロビジョニングが行われると、リモート アクセスはデフォルトで無効になります。

公開デモンストレーション


この問題については、さまざまな場所で公開デモンストレーションが行われています。各デモンストレーションで使用されているデバイスは、当該 Cisco Unified IP Phone ソフトウェア バージョンを実行している、プロビジョニングされていない電話であると考えられます。このデモンストレーションは、物理的な攻撃ベクトル、つまりローカル シリアル ポート経由で電話に侵入して、改ざんしたバイナリをデバイスに配置し、それを使用してカーネル メモリの任意の領域を操作するというものです。

デモンストレーションでは、オンフックの状態(受話器を置いた状態)で受話器のマイクがオンに設定されています。TNP デバイスの高利得エリア マイクロフォンは、スピーカーフォンのアクティブ インジケータに電気的に接続されており、ソフトウェア操作でバイパスすることはできません。79x1 シリーズ デバイスでは、受話器のマイクロフォンはソフトウェアおよびオーディオ コーデックの汎用入出力(GPIO)チャネルによって制御されるため、マイクロフォンがオンにされ受話器のディスプレイ インジケータがバイパスされる可能性があります。

79x2 および 79x5 シリーズ デバイスは、受話器のマイクロフォンをオフフック スイッチに電気的に接続するという設計で保護を強化しているため、マイクロフォンが何の表示もなくオンになることはありません。

想定されるリモート攻撃

物理的な攻撃ベクトルに加え、Cisco Unified IP Phone の特定の動作を利用した複数のネットワークベースの攻撃が想定されます。これまでのところ、攻撃は TFTP を使用した不正利用がベースとなっています。TFTP は、 UDP による安全性の低い転送プロトコルなので、スプーフィング攻撃を受けやすくなっています。シスコは、TFTP が安全でないことを認識しているため、Cisco Unified Call Manager バージョン 5.0 以降では、TFTP で転送される電話設定ファイルを管理者が暗号化できるようにすることで安全性の強化を図っています。さらにバージョン 8.0(1) 以降の全リリースでは、Secure By Default ポリシーを導入しています。これらのリリースではデフォルトでデバイスの設定ファイルに署名し、電話の SSH と Web デーモンの両方を無効にします。デバイス設定ファイルの署名と暗号化によって、攻撃者が TFTP サーバまたはサーバの応答をスプーフィングしてこれらのファイルを改ざんすることや置き換えたりすることを防止します。デバイス設定ファイルは、デバイスで使用される前にその暗号署名が検証されるため、不正利用を防止することができます。

これらのデフォルトの保護に加え、シスコはすべての音声ネットワーク展開向けの包括的な設計ガイドを提供しています。ガイドには、スプーフィングされたトラフィックが音声ネットワーク上で送信されるのを防止する方法や、一般のネットワーク トラフィックと音声トラフィックの隔離など、中間デバイスとエッジ デバイスに関して推奨されるセキュリティ機能構成が含まれています。Cisco Unified Communications Manager バージョン 9.0 のセキュリティ情報は、次のリンク先で確認できます。http://www.cisco.com/en/US/docs/voice_ip_comm/cucm/srnd/9x/security.html

ネットワーク、デバイス、設定に基づいた緩和策はいくつかあるものの、対象デバイスへの物理攻撃ベクトルに対する緩和策はありません。これに関してシスコは、段階的な修正アプローチを実施します。本アドバイザリに記載された脆弱性について、攻撃ベクトルを緩和するまず最初に Engineering Special ソフトウェアを、対象デバイス向けにリリースしました。このソフトウェア リリースは、Cisco Technical Assistance Center(TAC)へご連絡いただくことで入手が可能でした。その後、その他の強化点が2013年2月13日に Cisco.com において Service Release として入手可能となりました。

これら 2 つのリリースにより、管理者は音声環境の安全性を十分に確保できるはずです。一方でシスコは、この脆弱性の根本原因の長期的な修正にも取り組んでいます。今後数ヵ月にわたり、シスコは 7900 シリーズのファームウェアを一部書き換えて根本原因に対処するとともに、対象デバイスのネットワーク セキュリティおよび物理的セキュリティの両方を改善していく予定です。シスコは、安全性を最大限に高めた IP テレフォニー デバイスを提供するとともに、既存インフラストラクチャへのお客様の投資を今後も継続的に確保していきます。

この脆弱性は、Cisco Bug ID CSCuc83860登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)ID として CVE-2012-5445 が割り当てられています。

ソフトウェアの強化

不正アクセスの防止を強化するため、対象ソフトウェアの変更が行われました。実施された変更は以下のとおりです。
  • 対象デバイスのローカル コンソール ポートの無効化。
    • この変更により、攻撃者が電話機の AUX、コンソール ポートに物理アクセスして対象デバイスのコマンド ラインにアクセスすることができなくなりました。
  • デフォルト ユーザ シェルの削除。
    • 対象デバイスから、Unix 系の対話型シェルが削除されました。SSHが有効化され、ユーザ認証に成功しても、利用できるシェルはデバッグ オプションとログ オプションだけになります。
9.3(1)SR2 サービスリリースにおいて追加の強化が対策されています。変更は以下の通りです。
  • SSH authorized_keys ファイルが電話機に送信されなくなりました
    • この変更で、電話機への認証が SSH keys only ではなくなります。 SSH が有効な場合、管理者は機器の profile で設定されている Username および Passwordにての認証が必要になります。
これらの変更は、Cisco Bug ID CSCue04937登録ユーザ専用)に記述されています。

脆弱性スコア詳細

シスコは本アドバイザリでの脆弱性に対し、Common Vulnerability Scoring System(CVSS)に基づいたスコアを提供しています。本セキュリティ アドバイザリでの CVSS スコアは、CVSS バージョン 2.0 に基づいています。

CVSS は、脆弱性の重要度を示唆するもので、緊急性および対応の優先度を決定する組織の手助けとなる標準ベースの評価法です。

シスコでは、基本評価スコア(Base Score)および現状評価スコア(Temporal Score)を提供しています。お客様はこれらを用いて環境評価スコア(Environmental Score)を算出し、自身のネットワークにおける脆弱性の影響度を知ることができます。

シスコは次のリンクで CVSS に関する追加情報を提供しています。

http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html

またシスコでは、各ネットワークにおける環境影響度を算出する CVSS 計算ツールを次のリンクで提供しています。

http://tools.cisco.com/security/center/cvssCalculator.x/



CSCuc83860

Calculate the environmental score of CSCuc83860

CVSS Base Score - 6.8

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Local

Low

Single

Complete

Complete

Complete

CVSS Temporal Score - 5.8

Exploitability

Remediation Level

Report Confidence

Functional

Temporary-Fix

Confirmed


影響

ローカルの攻撃者がこの脆弱性の不正利用に成功した場合、カーネル領域を含むシステム メモリの任意の領域が操作される危険性が生じます。この場合、攻撃者は既存コードの動作を改ざんしたり、攻撃者が制御するコードを特権ユーザ権限で実行できる可能性があります。

ソフトウェア バージョンおよび修正

シスコは、本アドバイザリで記述されている、脆弱性に対する既知の攻撃ベクトルの緩和を可能にする9.3(1)SR2 を、お客様向けに公開しました。このリリースは、デバイスへの不正アクセスに対する中間的な解決方法であり、脆弱性の核心部分を解決するものではありません。この脆弱性の問題は、現在準備中の新規リリースによりすべて解決されます。

ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt/ の Cisco Security Advisories and Responses アーカイブや、本アドバイザリ以降に公開されるアドバイザリを参照して、起こり得る障害に充分に対応できるアップグレード ソリューションを選択してください。

いずれの場合も、アップグレードするデバイスに十分なメモリがあること、現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンス プロバイダーにお問い合わせください。


回避策

管理者は、次の『Applied Mitigation Bulletin』を読んでから緩和策を実施してください。シスコのインフラストラクチャで Cisco Unified IP Phone が導入されていない場合、管理者は、暗号化された構成の導入を検討し、SSH が無効にされていることを確認する必要があります。Cisco Unified Communications Manager バージョン 8.0(1) 以降の設定ファイルは、対象となるすべての Cisco Unified IP Phone 7900 シリーズ デバイスに対してデフォルトで署名されています。

ネットワーク内のシスコ デバイスに適用可能なその他の緩和策については、次のリ・塔Nにある本アドバイザリの付属ドキュメント、『Identifying and Mitigating Exploitation of the Cisco Unified IP Phone Local Kernel System Call Input Validation Vulnerability』を参照してください。
http://tools.cisco.com/security/center/viewAMBAlert.x?alertId=27763/

修正済みソフトウェアの入手

シスコは、本アドバイザリで記述されている、脆弱性に対する既知の攻撃ベクトルの緩和を可能にする9.3(1)SR2 を、お客様向けに公開しました。このリリースは、デバイスへの不正アクセスに対する中間的な解決方法であり、脆弱性の核心部分を解決するものではありません。この脆弱性の問題は、現在準備中の新規リリースによりすべて解決されます。

サービス契約をご利用のお客様

サービス契約をご利用のお客様は、通常のアップデート チャネルからアップグレード ソフトウェアを入手してください。お客様の大半は、Cisco.com の Software Navigator からアップグレード ソフトウェアを入手できます。http://www.cisco.com/cisco/software/navigator.html

サードパーティのサポート会社をご利用のお客様

シスコ パートナー、正規販売代理店、サービス プロバイダーなど、サードパーティのサポート会社と以前に契約していたか、または現在契約しており、その会社からシスコ製品の提供または保守を受けているお客様は、該当するサポート会社に連絡し、正しい処置についてのサポートを受けてください。

回避策や修正の効果は、使用している製品、ネットワーク トポロジー、トラフィックの性質や組織の目的などに関するお客様の状況によって異なります。影響を受ける製品やリリースは多種多様であるため、回避策を実施する前に、対象ネットワークで適用する回避策または修正が最適であることを、お客様のサービス プロバイダーやサポート会社にご確認ください。

サービス契約をご利用でないお客様

シスコから製品を直接購入したもののシスコのサービス契約をご利用いただいていない場合、または、サードパーティ ベンダーから購入したものの修正済みソフトウェアを購入先から入手できない場合は、Cisco Technical Assistance Center(TAC)に連絡してアップグレード ソフトウェアを入手してください。

  • +1 800 553 2447(北米からの無料通話)
  • +1 408 526 7209(北米以外からの有料通話)
  • E メール:tac@cisco.com

無償アップグレードの対象製品であることを証明していただくために、製品のシリアル番号と、本アドバイザリの URL をご用意ください。サービス契約をご利用でないお客様は TAC に無償アップグレードをリクエストしてください。

多言語による各地の電話番号、説明、E メール アドレスなどの TAC の連絡先情報については、Cisco Worldwide Contact を参照してください。http://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html

不正利用事例と公式発表

Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性のいかなる不正利用事例も確認しておりません。

この脆弱性は、コロンビア大学の Ang Cui 氏によってシスコに報告されました。

この通知のステータス:Interim

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。またシスコはいつでも本ドキュメントの変更や更新を実施する権利を有します。新しい情報が入り次第、このドキュメントは更新される予定です。

後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して単独の転載や意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。


情報配信

このアドバイザリは次のリンクにある Cisco Security Intelligence Operations に掲載されます。

http://www.cisco.com/cisco/web/support/JP/111/1117/1117015_cisco-sa-20130109-uipphone-j.html/

また、このアドバイザリのテキスト版が Cisco PSIRT PGP キーによるクリア署名つきで次の E メールで配信されています。

  • cust-security-announce@cisco.com
  • first-bulletins@lists.first.org
  • bugtraq@securityfocus.com
  • vulnwatch@vulnwatch.org
  • cisco@spot.colorado.edu
  • cisco-nsp@puck.nether.net
  • full-disclosure@lists.grok.org.uk

本アドバイザリに関する今後の更新は Cisco.com に掲載されますが、メーリング リストで配信されるとは限りません。更新内容については、本アドバイザリの URL でご確認ください。


更新履歴

Revision 1.2 2013-February-14 Added information regarding the release of general service release 9.3(1)SR2. Added additional hardening information to Details section.
Revision 1.1 2013-January-17 Added information about Engineering Special release 9.3(1)-ES11.
Revision 1.0 2013-January-09 Initial public release

シスコ セキュリティ手順

シスコ製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関するサポート、およびシスコからセキュリティ情報を入手するための登録方法の詳細については、Cisco.com の http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html を参照してください。この Web ページには、シスコのセキュリティ アドバイザリに関してメディアが問い合わせる際の指示が掲載されています。シスコ セキュリティ アドバイザリについては、すべて http://www.cisco.com/go/psirt/ で確認できます。