Multiple Vulnerabilities in Cisco ASA Software

2013 年 10 月 23 日 - ライター翻訳版
その他のバージョン: PDFpdf | 英語版 (2013 年 10 月 18 日) | フィードバック

Advisory ID: cisco-sa-20131009-asa

http://www.cisco.com/cisco/web/support/JP/111/1119/1119989_cisco-sa-20131009-asa-j.html

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

Revision 2.1

Last Updated 2013 October 18 17:07 UTC (GMT)

For Public Release 2013 October 9 16:00 UTC (GMT)


要約

Cisco 適応型セキュリティ アプライアンス(ASA)ソフトウェアには、次の脆弱性が存在します。

  • IPsec VPN の巧妙に細工された ICMP パケットによる DoS 脆弱性
  • SQL*Net インスペクション エンジンの DoS 脆弱性
  • デジタル証明書認証バイパスの脆弱性
  • リモート アクセス VPN 認証バイパスの脆弱性
  • デジタル証明書 HTTP 認証バイパスの脆弱性
  • HTTP ディープ パケット インスペクションにおける DoS 脆弱性
  • DNS インスペクションにおける DoS 脆弱性
  • AnyConnect SSL VPN メモリ枯渇の DoS 脆弱性
  • クライアントレス SSL VPN における DoS 脆弱性
  • 巧妙に細工された ICMP パケットによる DoS 脆弱性

これらの脆弱性はそれぞれ独立しています。1 つの脆弱性に影響を受けるリリースが、その他の脆弱性からも影響を受けるとは限りません。

IPsec VPN の巧妙に細工された ICMP パケットによる DoS 脆弱性、SQL*Net インスペクション エンジンの DoS 脆弱性、HTTP ディープ パケット インスペクションにおける DoS 脆弱性、DNS インスペクションにおける DoS 脆弱性、クライアントレス SSL VPN における DoS 脆弱性が不正利用された場合、該当デバイスでリロードが発生し、サービス拒否(DoS)状態になることがあります。

デジタル証明書認証バイパスの脆弱性、リモート アクセス VPN 認証バイパスの脆弱性、デジタル証明書 HTTP 認証バイパスの脆弱性が不正利用された場合、認証をバイパスすることが可能になり、攻撃者がリモート アクセス VPN を介して内部ネットワークにアクセスしたり、Cisco Adaptive Security Device Management(ASDM)を介して該当システムに管理アクセスしたりすることが可能になります。

AnyConnect SSL VPN メモリ枯渇の DoS 脆弱性が不正利用された場合、利用可能なメモリが枯渇するためシステムが不安定になり、該当システムが応答しなくなりトラフィックの転送が停止する可能性があります。

巧妙に細工された ICMP パケットによる DoS 脆弱性が不正利用された場合、該当システムを通過する有効な接続が切断されたり、該当システムがリロードされたりして、サービス拒否(DoS)状態になることがあります。

シスコはこれらの脆弱性に対応するための無償ソフトウェア アップデートを提供しています。これらの脆弱性の一部については、回避策があります。

このアドバイザリは、次のリンクで確認できます。
http://www.cisco.com/cisco/web/support/JP/111/1119/1119989_cisco-sa-20131009-asa-j.html

注:Cisco Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータ用の Cisco Firewall Services Module(FWSM)は、SQL*Net インスペクション エンジンの DoS 脆弱性の影響を受ける可能性があります。Cisco FWSM に該当する脆弱性に関しては別途 Cisco Security Advisory が公開されています。このアドバイザリは次のリンクに掲載されています。
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20131009-fwsm

該当製品

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス用 Cisco ASA ソフトウェア、Cisco ASA 5500-X Next Generation Firewall、Cisco Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータ用の Cisco ASA サービス モジュールと、Cisco ASA 1000V Cloud Firewall は複数の脆弱性の影響を受けます。影響を受ける Cisco ASA ソフトウェアのバージョンは、脆弱性によって異なります。影響を受けるバージョンの詳細については、このアドバイザリの「ソフトウェア バージョンおよび修正」セクションを参照してください。

脆弱性が認められる製品

IPsec VPN の巧妙に細工された ICMP パケットによる DoS 脆弱性

脆弱性が存在するのは、Cisco ASA ソフトウェアに少なくとも 1 つの IPsec VPN トンネルがあり、そのトンネルを通過するアクティブなトラフィックがある場合です。この脆弱性は、問題となるパケットが SSL/TLS ベースの VPN トンネルを通過する場合には不正利用されることはありません。

Cisco ASA ソフトウェアが IPsec VPN 用に設定されているかどうかを確認するには、show running-config crypto map コマンドを使用し、少なくとも 1 つの Cisco ASA インターフェイスに crypto map が適用されていることを確認します。次の例は、outside インターフェイスに適用される outside_map という名称の crypto map を持つ Cisco ASA ソフトウェアを示しています。
ciscoasa# sh running-config crypto map
[...]
crypto map outside_map interface outside
注:デフォルトでは、Cisco ASA ソフトウェアには、任意のインターフェイスに適用される crypto map はありません。


SQL*Net インスペクション エンジンの DoS 脆弱性

Cisco ASA ソフトウェアは、SQL*Netインスペクションが有効になっている場合、この脆弱性の影響を受けます。

SQL*Net インスペクションが有効になっているかどうかを確認するには、show service-policy | include sqlnet コマンドを使用して出力が返ることを確認します。次の例は、SQL*Net インスペクションが有効になっている Cisco ASA ソフトウェアを示しています。
ciscoasa# show  service-policy | include sqlnet
  Inspect: sqlnet, packet 0, drop 0, reset-drop 0
注:SQL*Net インスペクションはデフォルトで有効になっています。


デジタル証明書認証バイパスの脆弱性

Cisco ASA ソフトウェアは、以下のいずれかの場合にこの脆弱性の影響を受けます。
  • クライアントレス SSL VPN または AnyConnect SSL VPN が、デジタル証明書認証を使用するように設定されている
  • Cisco ASDM が、デジタル証明書認証を使用するように設定されている
クライアントレス SSL VPN または AnyConnect SSL VPN が、デジタル証明書認証を使用するように設定されているかどうかを確認するには、show runing-config webvpn コマンドを使用します。デジタル証明書認証が VPN 機能で有効になっているかどうかを確認するには、show running-config tunnel-group <Tunnel_Group_Name> コマンドを使用します。ここで <Tunnel_Group_Name> には、クライアントレス SSL VPN または AnyConnect SSL VPN プロファイルに関連付けられたトンネル グループを指定します。そして、authentication certificate または authentication aaa certificate コマンドが tunnel-group webvpn-attributes の下に表示されることを確認します。

次の例は、クライアントレス SSL VPN または AnyConnect SSL VPN 機能が outside インターフェイスで有効になっており、AnyConnect-TG という名称の tunnel-group で証明書認証が有効になっている Cisco ASA ソフトウェアを示しています。
    ciscoasa# show running-config webvpn
    webvpn
     enable outside

    ciscoasa# show running-config tunnel-group AnyConnect-TG
    [...]
    tunnel-group DefaultRAGroup webvpn-attributes
     authentication aaa certificate
Cisco ASDM がデジタル証明書認証を使用するように設定されているかどうかを確認するには、show running-config http コマンドを使用し、http server enabled コマンドおよび http authentication-certificate <Interface_name> コマンドが表示されることを確認します。次の例は、Cisco ASDM および証明書認証が inside インターフェイス上で有効になっている Cisco ASA ソフトウェアを示しています。
    ciscoasa# show running-config http
    http server enable
    [...]
    http authentication-certificate inside
一部の Cisco ASA バージョンでは、ssl certificate-authentication interface <Interface_name> port <Port_Number> コマンドが、http authentication-certificate <Interface_name> コマンドの代わりに使用されていました。

注:デジタル証明書認証はデフォルトでは無効になっています。この脆弱性は、Cisco ASA 5505、Cisco ASA 5510、Cisco ASA 5520、Cisco ASA 5540、Cisco ASA 5550 製品には影響しません。


リモート アクセス VPN 認証バイパスの脆弱性

Cisco ASA ソフトウェアは、次の条件がすべて満たされる場合に、この脆弱性の影響を受けます。
  1. クライアントレス VPN または AnyConnect VPN、IKEv1 および IKEv2 リモート IPsec VPN および L2TP/IPsec VPN のいずれかに向けて設定されている
  2. リモート VPN が LDAP を使用したリモート AAA サーバを介して認証されている
  3. tunnel-group general-attributes 設定の下に、override-account-disable オプションが設定されている
その他のリモート AAA サーバ、またはローカル AAA サーバをリモート VPN の認証に使用している Cisco ASA ソフトウェアは、この脆弱性の影響を受けません。また、LAN-to-LAN IPsec VPN 用に設定された Cisco ASA ソフトウェアは、この脆弱性の影響を受けません。

LDAP AAA サーバおよび override-account-disable コマンドが tunnel-group general-attributes 設定の下に設定されているかどうかを確認するには、show running-config tunnel-group <Tunnel_Group_Name> コマンドを使用します。

次の例は、AAA-LDAP-SERVER という名称のリモート AAA サーバを介して、tunnel-group AnyConnect-TG を使用してリモート VPN セッションの認証を行うように設定され、override-account-disable オプションが有効になっている Cisco ASA ソフトウェアを示しています。
ciscoasa# show running-config tunnel-group AnyConnect-TG
tunnel-group test general-attributes
 authentication-server-group AAA-LDAP-SERVER
 override-account-disable
さらに、show aaa-server protocol ldap コマンドを使用して、tunnel-group に関連付けされたリモート AAA サーバが LDAP サーバであることを確認します。次の例は、LDAP が実行されている、AAA-LDAP-SERVER という名称の AAA サーバが設定された Cisco ASA ソフトウェアを示しています。
ciscoasa# show aaa-server protocol ldap
Server Group: AAA-LDAP-SERVER
Server Protocol: ldap
[...]
注:override-account-disable コマンドはデフォルトでは無効になっています。


デジタル証明書 HTTP 認証バイパスの脆弱性

Cisco ASA ソフトウェアは、デジタル証明書クライアント認証が Cisco ASDM で有効になっている場合、この脆弱性の影響を受けます。show running-config http コマンドを使用して、authentication-certificate <Interface_Name> が設定されているかを確認します。次の例は、inside インターフェイスで http authentication-certificate コマンドが有効になっている Cisco ASA ソフトウェアを示しています。
    ciscoasa# show running-config http
    http server enable
    [...]
    http authentication-certificate inside
一部の Cisco ASA バージョンでは、ssl certificate-authentication interface <Interface_name> port <Port_Number> コマンドが、http authentication-certificate <Interface_name> コマンドの代わりに使用されていました。

注:Cisco ASDM では、デジタル証明書認証がデフォルトで無効になっています。


HTTP ディープ パケット インスペクションにおける DoS 脆弱性

Cisco ASA ソフトウェアは、HTTP ディープ パケット インスペクション(DPI)が次のいずれかのオプションを設定している場合、この脆弱性の影響を受けます。
  • spoof-server パラメータ オプションが有効になっている
  • マスク オプションが有効に設定され、本文で ActiveX を使用して HTTP 応答を検査している
  • マスク オプションが有効に設定され、本文で Java アプレットを使用して HTTP 応答を検査している
これらが設定されているかどうかを確認するには、show running-config policy-map type inspect http コマンドを使用します。次の例は、spoof-server オプションが有効に設定され、HTTP_DPI_PM という名称の HTTP DPI ポリシーが設定されている Cisco ASA ソフトウェアを示しています。
ciscoasa# show running-config policy-map type inspect http
!
policy-map type inspect http HTTP_DPI_PM
 parameters
  spoof-server "Apache"
!
注:HTTP インスペクション エンジンおよび HTTP DPI はデフォルトでは無効になっています。この脆弱性は、Cisco ASA 5505、Cisco ASA 5510、Cisco ASA 5520、Cisco ASA 5540、Cisco ASA 5550 製品には影響しません。


DNS インスペクションにおける DoS 脆弱性

Cisco ASA ソフトウェアは、DNS アプリケーション層プロトコル検査(ALPI)エンジンが、TCP 上の DNS パケットを検査するように設定されている場合、この脆弱性の影響を受けます。

DNS ALPI エンジンが TCP 上の DNS パケットを検査するように設定されているかどうかを確認するには、show running-config access-list <acl_name> コマンドを使用します。ここで acl_name には、DNS インスペクションが適用される class-map で使用される access-list の名前を指定します。

この名前は、show running-config class-map コマンドおよび show running-config policy-map コマンドを実行すると表示されます。

次の例は、DNS ALPI エンジンが TCP 上の DNS パケットを検査するように設定されている Cisco ASA ソフトウェアを示しています。
ciscoasa# show running-config access-list
[...]
access-list DNS_INSPECT_ACL extended permit tcp any any
[...] 
または
ciscoasa# show running-config access-list
[...]
access-list DNS_INSPECT_ACL extended permit ip any any
[...]
ciscoasa# show running-config class-map
!
class-map DNS_INSPECT_CP
 match access-list DNS_INSPECT
[...]
ciscoasa# show running-config policy-map
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect ftp
  inspect h323 h225
  [...]
 class DNS_INSPECT_CP
  inspect dns preset_dns_map
!
注:Cisco ASA ソフトウェアは、デフォルトでは TCP 上の DNS パケットを検査しません。


AnyConnect SSL VPN メモリ枯渇の DoS 脆弱性

Cisco ASA ソフトウェアは、AnyConnect SSL VPN が設定されている場合にこの脆弱性の影響を受けます。クライアントレス SSL VPN、IKEv1/IKEv2 IPsec リモート VPN および LAN-to-LAN VPN、または L2TP/IPsec VPN 用に設定された Cisco ASA ソフトウェアは、この脆弱性の影響を受けません。

Cisco ASA ソフトウェアに AnyConnect SSL VPN が設定されているかどうかを確認するには、show running-config webvpn コマンドを使用して、svc enble または anyconnect enable コマンド(Cisco ASA ソフトウェア バージョン 8.4(1) 以降)が表示されることを確認します。

次の例は、AnyConnect SSL VPN 機能が有効になっている Cisco ASA ソフトウェアを示しています。
ciscoasa# show running-config webvpn
webvpn
 [...]
 svc enable
注:AnyConnect SSL VPN はデフォルトでは無効になっています。


クライアントレス SSL VPN における DoS 脆弱性

Cisco ASA ソフトウェアは、クライアントレス SSL VPN が設定されている場合にこの脆弱性の影響を受けます。AnyConnect SSL VPN、IKEv1/IKEv2 IPsec リモート VPN および LAN-to-LAN VPN、または L2TP/IPsec VPN 用に設定された Cisco ASA ソフトウェアは、この脆弱性の影響を受けません。

SSL VPN が有効になっているかどうかを確認するには、show running-config webvpn コマンドを使用します。クライアントレス SSL VPN が設定されているかどうかを確認するには、show running-config group-policy <Group_Policy_Name> コマンドを使用します。ここで <Group_Policy_Name> には SSL VPN に使用するグループ ポリシーの名前を指定し、vpn-tunnel-protocol コマンドで webvpn が表示されることを確認します。

注:show running-config group-policy <Group_Policy_Name> コマンドを実行しても vpn-tunnel-protocol が含まれる出力が返らない場合は、DfltGrpPolicy グループ ポリシーからデフォルト設定が継承されます。DfltGrpPolicy では、デフォルトでクライアントレス SSL VPN が有効になっています。

DfltGrpPolicy の設定は、show running-config all group-policy DfltGrpPolicy コマンドを使用して確認することができます。

次の例は、SSL VPN 機能が outside インターフェイスで有効に設定され、クライアントレス SSL VPN が設定された Clientless_SSL_VPN という名称のグループ ポリシーが設定された、Cisco ASA ソフトウェアの例を示しています。
ciscoasa# show running-config webvpn
     webvpn
     enable outside

ciscoasa# show running-config group-policy Clientless_SSL_VPN
group-policy Clientless_SSL_VPN internal
group-policy Clientless_SSL_VPN attributes
 vpn-tunnel-protocol webvpn
注:クライアントレス SSL VPN はデフォルトでは無効になっていますが、SSL VPN を有効にすると、クライアントレス SSL VPN も自動的に有効になります。

巧妙に細工された ICMP パケットによる DoS 脆弱性

ICMP インスペクション エンジンがファイアウォールを通過する ICMP パケットを調査するように 設定されている場合や、ファイアウォール インターフェイスをターゲットとする ICMP パケットの処理が許可されている場合、Cisco ASA ソフトウェアには脆弱性が存在します。

Cisco ASA ソフトウェアのデフォルト動作は、ファイアウォール インターフェイスへの全 ICMP トラフィックを許可し処理するため、デフォルトの Cisco ASA ソフトウェア設定には脆弱性が存在します。デフォルトの ICMP ポリシーはファイアウォール設定からは見えませんが、このデフォルトの ICMP ポリシーは、IPv6 がインターフェイスで有効になっている場合に、icmp deny any <interface_name> コマンドや ipv6 icmp deny any <interface_name> コマンドを使用して無効にすることができます。この 2 つのコマンドのいずれかが設定された場合、設定に表示されるようになります。デフォルトの ICMP ポリシーが無効になっているかどうかを判断するには、show running-config icmp | include deny any コマンドを使用して、ファイアウォールに設定された各インターフェイスに関して返される出力を確認します。IPv6 対応インターフェイスがある場合、デフォルトの ICMP ポリシーが ICMPv6 で無効になっていることを確認するには、show running-config ipv6 | include icmp deny any コマンドを使用して、ファイアウォールに設定された各インターフェイスに関して返される出力を確認します。このコマンドで情報の出力がなかった場合や、設定がファイアウォール インターフェイスのサブセットに適用されていることが出力に示されている場合、管理者はシステムに脆弱性があることを認識する必要があります。

ファイアウォールを宛先とする ICMP パケットを許可するように、デフォルト以外の ICMP インターフェイス ポリシーがデバイスに設定されているかどうかを確認するには、show running-config icmp | include permit コマンドと show running-config ipv6 | include icmp permit コマンドを使用して、ファイアウォールに設定されている各インターフェイスに関して返される出力を確認します。
ICMP パケットを許可するような構成がファイアウォール インターフェイスのサブセットに適用されていることが出力に示された場合、管理者はシステムに脆弱性があることを認識する必要があります。

次の例は、ASA ファイアウォールの outside インターフェイスを宛先とする ICMP エコー リプライ パケットを許可するよう構成された非デフォルト ICMP ポリシーが、Cisco ASA ソフトウェアに設定されていることを示しています。

ciscoasa#show running-config icmp | include permit
icmp permit any echo-reply outside
icmp permit any echo-reply dmz1 icmp permit any unreachable outside icmp permit any echo outside

ciscoasa#show running-config ipv6 | include permit icmp
ipv6 icmp permit any echo outside
ipv6 icmp permit any echo-reply outside ipv6 icmp permit any neighbor-advertisement outside

ICMP インスペクション エンジンがファイアウォールを通過する ICMP パケットを調査するよう構成されているかどうかを確認するには、show running-config | include inspect icmp コマンドを使用して、 inspect icmp コマンドが存在することを確認します。inspect icmp error のみが構成されている場合は、脆弱性は存在しません。

次の例は、ASA インターフェイスを通過する ICMP パケットを調査するように ICMP インスペクション エンジンが構成されている Cisco ASA ソフトウェアを示しています。

ciscoasa# show running-config | include inspect icmp
inspect icmp

注:ICMP インスペクション エンジンは、デフォルトでは有効になっていません。

実行中のソフトウェア バージョンの確認

脆弱性のあるバージョンの Cisco ASA ソフトウェアがアプライアンスで実行されているかどうかを確認するには、show version コマンドを実行します。次の例は Cisco ASA ソフトウェア バージョン 8.4(1) を実行しているデバイスを示しています。
ciscoasa#show version | include Version
Cisco Adaptive Security Appliance Software Version 8.4(1)
Device Manager Version 6.4(1)
Cisco ASDM を使用してデバイスを管理している場合は、ログイン ウィンドウの表、または Cisco ASDM ウィンドウの左上にソフトウェアのバージョンが表示されます。

脆弱性が認められない製品

Cisco ASA-CX Context-Aware Security は、これらの脆弱性の影響を受けません。

Cisco FWSM を除いて、これらの脆弱性の影響を受けるシスコ製品は現在確認されていません。

詳細

Cisco 適応型セキュリティ アプライアンス(ASA)ソフトウェアは、Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス、Cisco ASA 5500-X Next Generation Firewall、Cisco Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータ用の Cisco ASA サービス モジュール(ASASM)と、Cisco ASA 1000V Cloud Firewall で使用されるオペレーティング システムです。Cisco ASA ファミリは、ファイアウォールや侵入防御システム(IPS)、anti-X、VPN などのネットワーク セキュリティ サービスを提供します。

IPsec VPN の巧妙に細工された ICMP パケットによる DoS 脆弱性

IPsec コードに脆弱性が存在するため、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。

この脆弱性は、アクティブな VPN トンネルを通過するパケットを復号化するコードにエラーがあることに起因します。特に、復号化の後の、巧妙に細工された ICMP パケットの処理が不適切なためです。攻撃者はアクティブな VPN トンネルを介して巧妙に細工された ICMP パケットを送信することで、この脆弱性を不正利用できる可能性があります。この脆弱性を不正利用することにより、攻撃者は、復号化操作を行うデバイスのリロードを引き起こす可能性があります。

注:この脆弱性は、アクティブな IPsec VPN トンネルを通過する ICMP トラフィックによってのみ引き起こされます。この脆弱性は、シングルおよびマルチ コンテキスト モードの両方において、ルーテッド モードで設定された Cisco ASA ソフトウェアに影響を与えます。また、ICMP パケットおよび ICMPv6 パケットによって引き起こされる可能性があります。

この脆弱性は、Cisco Bug ID CSCue18975登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)ID として CVE-2013-5507 が割り当てられています。

SQL*Net インスペクション エンジンの DoS 脆弱性

SQL*Net インスペクション エンジン のコードに脆弱性が存在するため、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。

この脆弱性は、セグメント化された Transparent Network Substrate(TNS)パケットの不適切な処理に起因します。攻撃者は、一連の巧妙に細工されセグメント化された TNS パケットを該当システムを介して送信することで、この脆弱性を不正利用できる可能性があります。

注:この脆弱性は、Cisco ASA SQL*Net インスペクション エンジンによって検査された通過トラフィックによってのみ、不正利用が可能です。シングルおよびマルチ コンテキスト モードの両方における、ルーテッド ファイアウォール モードまたはトランスペアレント ファイアウォール モードの両方に影響します。この脆弱性は、IPv4 および IPv6 トラフィックによって引き起こされる可能性があります。

この脆弱性は、Cisco Bug ID CSCub98434登録ユーザ専用)として文書化され、CVE ID として CVE-2013-5508 が割り当てられています。

デジタル証明書認証バイパスの脆弱性

Cisco ASA ソフトウェアの SSL 証明書検証コードにおける脆弱性により、認証されていないリモートの攻撃者が認証サービスをバイパスできる可能性があります。

この脆弱性は、クライアントの巧妙に細工された証明書を、認証フェーズにおいて処理する際に発生するエラーに起因します。攻撃者は、巧妙に細工された証明書を使用して該当システムに対して認証を試みることにより、この脆弱性を不正利用できる可能性があります。この不正利用により、攻撃者は証明書認証をバイパスできる可能性があります。この脆弱性により、Cisco ASA ソフトウェアの設定によって、攻撃者はクライアントレス SSL VPN または AnyConnect SSL VPN を介して認証を行いネットワークにアクセスしたり、Cisco Adaptive Security Device Management(ASDM)を介して管理者アクセス権限を取得したりする可能性があります。

この脆弱性は、クライアントレス SSL VPN および AnyConnect SSL VPN 用または Cisco ASDM を介したリモート管理用のクライアント デジタル証明書認証向けに設定された、Cisco ASA ソフトウェアに影響を与えます。

Cisco ASA 5505、Cisco ASA 5510、Cisco ASA 5520、Cisco ASA 5540、Cisco ASA 5550 で実行されている Cisco ASA ソフトウェアは、この脆弱性の影響を受けません。

注:この脆弱性の不正利用に使用できるのは、該当デバイス宛てのトラフィックのみです。この脆弱性は、シングルおよびマルチ コンテキスト モードの両方において、ルーテッド ファイアウォール モードまたはトランスペアレント ファイアウォール モードで設定された Cisco ASA ソフトウェアに影響を与えます。また、IPv4 および IPv6 トラフィックによって引き起こされる可能性があります。この脆弱性を不正利用するには、TCP 3 ウェイ ハンドシェイクが必要です。

この脆弱性は、Cisco Bug ID CSCuf52468登録ユーザ専用)として文書化され、CVE ID として CVE-2013-5509 が割り当てられています。

リモート アクセス VPN 認証バイパスの脆弱性

Cisco ASA ソフトウェアのリモート アクセス VPN 機能の認証コードの脆弱性により、認証されていないリモートの攻撃者はリモート VPN 認証をバイパスし、内部ネットワークにリモート アクセスできる可能性があります。

この脆弱性は、tunnel-group の general-attributes に override-account-disable オプションが設定されている場合、リモート AAA LDAP サーバから受信した LDAP 応答パケットが適切に解析されないことに起因します。攻撃者は、リモート VPN を介して該当システムに認証を試みることにより、この脆弱性を不正利用できる可能性があります。この不正利用によって、攻撃者は認証をバイパスし、リモート VPN を介してネットワークにアクセスできる可能性があります。

この脆弱性は、クライアントレス SSL VPN または AnyConnect SSL VPN、IKEv1 および IKEv2 リモート IPsec VPN および L2TP/IPsec VPN に向けて設定された Cisco ASA ソフトウェアに影響を与えます。さらに、外部 AAA LDAP サーバがリモート VPN 認証サービスに使用されている必要があります。その他のリモート AAA サーバ、またはローカル AAA サーバ用のプロトコルをリモート VPN の認証に使用している Cisco ASA ソフトウェアは、この脆弱性の影響を受けません。LAN-to-LAN VPN 用に設定された Cisco ASA ソフトウェアは、この脆弱性の影響を受けません。

IKEv1 リモート IPsec VPN および L2TP/IPsec VPN が設定されている Cisco ASA ソフトウェアの場合、この脆弱性を不正利用するには、攻撃者は tunnel-group パスワードを知っているか、または有効なデジタル証明書を保持している必要があります。いずれの場合も、この脆弱性を不正利用するには、攻撃者は有効なユーザ名を知っている必要があります。

注:この脆弱性の不正利用に使用できるのは、該当システム宛てのトラフィックのみです。この脆弱性は、シングル コンテキスト モードにおいて、ルーテッド ファイアウォール モードに設定された Cisco ASA ソフトウェアのみに影響します。また、IPv4 および IPv6 トラフィックによって引き起こされる可能性があります。

この脆弱性は、Cisco Bug ID CSCug83401登録ユーザ専用)として文書化され、CVE ID として CVE-2013-5510 が割り当てられています。


デジタル証明書 HTTP 認証バイパスの脆弱性

Cisco Adaptive Security Device Management(ASDM)を介したリモート管理の認証コードにおける脆弱性により、認証されていないリモートの攻撃者がデジタル証明書認証をバイパスできる可能性があります。設定によっては、攻撃者は Cisco ASDM を介して管理インターフェイスに管理者としてリモート接続し、該当システムを完全に制御できる可能性があります。

この脆弱性は、クライアント側のデジタル証明書認証を有効にする authentication-certificate オプションの実装のエラーに起因します。攻撃者は、Cisco ASDM が有効に設定された該当システムのインターフェイスに対して認証を試みることにより、この脆弱性を不正利用できる可能性があります。

注:この脆弱性の不正利用に使用できるのは、該当システム宛てのトラフィックのみです。この脆弱性は、シングルおよびマルチ コンテキスト モードの両方において、ルーテッド ファイアウォール モードまたはトランスペアレント ファイアウォール モードで設定された Cisco ASA ソフトウェアに影響を与えます。また、IPv4 および IPv6 トラフィックによって引き起こされる可能性があります。この脆弱性を不正利用するには、TCP 3 ウェイ ハンドシェイクが必要です。

この脆弱性は、Cisco Bug ID CSCuh44815登録ユーザ専用)として文書化され、CVE ID として CVE-2013-5511 が割り当てられています。

HTTP ディープ パケット インスペクションにおける DoS 脆弱性

HTTP ディープ パケット インスペクション(DPI)コードに脆弱性が存在するため、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。

この脆弱性は、HTTP DPI エンジンが HTTP パケットを検査しており、spoof-server パラメータ オプションが有効になっているか、または Cisco ASA ソフトウェアが応答本文に ActiveX または Java アプレットが含まれる HTTP 応答を検査しマスクするように設定されている場合における、競合状態の不適切な処理に起因します。攻撃者は、該当システムを介して巧妙に細工された HTTP 応答を送信することで、この脆弱性を不正利用できる可能性があります。

注:この脆弱性は、HTTP DPI エンジンによって検査された通過トラフィックによってのみ、不正利用が可能です。この脆弱性は、シングルおよびマルチ コンテキスト モードの両方において、ルーテッド ファイアウォール モードまたはトランスペアレント ファイアウォール モードで設定された Cisco ASA ソフトウェアに影響を与えます。また、IPv4 および IPv6 トラフィックによって引き起こされる可能性があります。

この脆弱性は、Cisco Bug ID CSCud37992登録ユーザ専用)として文書化され、CVE ID として CVE-2013-5512 が割り当てられています。

DNS インスペクションにおける DoS 脆弱性

Cisco ASA ソフトウェアの DNS アプリケーション層プロトコル検査(ALPI)エンジンに脆弱性が存在するため、認証されていないリモートの攻撃者によって、該当デバイスのリロードが引き起こされる可能性があります。

この脆弱性は、DNS インスペクション エンジンによる、TCP 上のサポート対象外の DNS パケットの不適切な処理に起因します。攻撃者は、巧妙に細工された TCP 上の DNS メッセージを該当デバイスを介して送信することで、この脆弱性を不正利用する可能性があります。

注:この脆弱性は、DNS ALPI エンジンによって検査された通過トラフィックによってのみ引き起こされます。この脆弱性は、シングルおよびマルチ コンテキスト モードの両方において、ルーテッド ファイアウォール モードまたはトランスペアレント ファイアウォール モードに設定された Cisco ASA ソフトウェアに影響を与えます。また、IPv4 および IPv6 トラフィックによって引き起こされる可能性があります。

この脆弱性は、Cisco Bug ID CSCug03975登録ユーザ専用)として文書化され、CVE ID として CVE-2013-5513 が割り当てられています。

AnyConnect SSL VPN メモリ枯渇の DoS 脆弱性

Cisco ASA ソフトウェアが AnyConnect SSL VPN クライアント接続を処理する方法に脆弱性が存在するため、認証されていないリモートの攻撃者によって利用可能なメモリが枯渇させられ、結果として該当システムが応答しなくなったり、通過トラフィックが廃棄される可能性があります。

この脆弱性は、AnyConnect SSL VPN クライアントの接続を解除した後に、未使用のメモリ ブロックを適切にクリアできないことに起因します。攻撃者は、接続解除したクライアントの IP アドレスにトラフィックを送信することにより、この脆弱性を不正利用する可能性があります。

この脆弱性は AnyConnect SSL VPN 向けに設定された Cisco ASA ソフトウェアに影響を及ぼします。クライアントレス SSL VPN、IKEv1 および IKEv2 リモート IPsec VPN、LAN-to-LAN VPN または L2TP/IPSEC VPN 用に設定された Cisco ASA ソフトウェアは、この脆弱性の影響を受けません。

注:この脆弱性は、通過トラフィックによってのみ引き起こされ、 シングル コンテキスト モードのルーテッド ファイアウォール モードが設定された Cisco ASA ソフトウェアのみに影響します。また、IPv4 および IPv6 トラフィックによって引き起こされる可能性があります。

この脆弱性は、Cisco Bug ID CSCtt36737登録ユーザ専用)として文書化され、CVE ID として CVE-2013-3415 が割り当てられています。

クライアントレス SSL VPN における DoS 脆弱性

クライアントレス SSL VPN コードに脆弱性が存在するため、認証されていないリモートの攻撃者が該当システムのリロードを引き起こす可能性があります。

この脆弱性は、クライアントレス SSL VPN 用に設定された Cisco ASA ソフトウェアに対する巧妙に細工された HTTP 要求を、適切に処理できないことに起因します。攻撃者は、クライアントレス SSL VPN 機能用に開放された TCP ポートを狙って、巧妙に細工された HTTPS 要求を送信することで、この脆弱性を不正利用できる可能性があります。

この脆弱性は、クライアントレス SSL VPN 向けに設定された Cisco ASA ソフトウェアに影響を及ぼします。AnyConnect SSL VPN、IKEv1 および IKEv2 リモート IPsec VPN、LAN-to-LAN VPN または L2TP/IPSEC VPN 用に設定された Cisco ASA ソフトウェアは、この脆弱性の影響を受けません。

注:この脆弱性を引き起こすのは、該当システム宛てのトラフィックのみです。シングル コンテキスト モードのルーテッド ファイアウォール モードが設定された Cisco ASA ソフトウェアのみに影響します。また、IPv4 および IPv6 トラフィックによって引き起こされる可能性があります。

この脆弱性は、Cisco Bug ID CSCua22709登録ユーザ専用)として文書化され、CVE ID として CVE-2013-5515 が割り当てられています。


巧妙に細工された ICMP パケットによる DoS 脆弱性

Cisco ASA ソフトウェアの ICMP パケットを処理する機能には脆弱性が存在するため、認証されていないリモートの攻撃者によって任意の接続がクリアされたり、該当デバイスのリロードが引き起こされサービス拒否(DoS)状態になることがあります。

この脆弱性は、巧妙に細工された ICMP パケットの不適切な処理に起因します。攻撃者は一連の巧妙に細工された ICMP パケットを該当システム宛て、またはそれを通過するように送信することで、この脆弱性を不正利用できる可能性があります。この脆弱性を不正利用することにより、攻撃者はファイアウォールの任意の接続をクリアしたり、該当デバイスのリロードが引き起こしたりして、サービス拒否(DoS)状態を引き起こすことがあります。


注:この脆弱性は、該当システム宛て、および該当システムを通過するトラフィックの両方によって引き起こされる可能性があります。この脆弱性は、シングルおよびマルチ コンテキスト モードの両方において、ルーテッド ファイアウォール モードまたはトランスペアレント ファイアウォール モードで設定された Cisco ASA ソフトウェアに影響を与えます。また、IPv4 および IPv6 トラフィックによって引き起こされる可能性があります。

この脆弱性は、Cisco Bug ID CSCui77398登録ユーザ専用)として文書化され、CVE ID として CVE-2013-5542 が割り当てられています。

脆弱性スコア詳細

シスコはこのアドバイザリでの脆弱性に対して Common Vulnerability Scoring System(CVSS)に基づいたスコアを提供しています。本セキュリティ アドバイザリでの CVSS スコアは、CVSS バージョン 2.0 に基づいています。

CVSS は、脆弱性の重要度を示唆するもので、緊急性および対応の優先度を決定する組織の手助けとなる標準ベースの評価法です。

シスコでは、基本評価スコア(Base Score)および現状評価スコア(Temporal Score)を提供しています。お客様はこれらを用いて環境評価スコア(Environmental Score)を算出し、自身のネットワークにおける脆弱性の影響度を知ることができます。

シスコは次のリンクで CVSS に関する追加情報を提供しています。
http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html

またシスコでは、各ネットワークにおける環境影響度を算出する CVSS 計算ツールを次のリンクで提供しています。
http://tools.cisco.com/security/center/cvssCalculator.x/

CSCue18975 - IPsec VPN Crafted ICMP Packet Denial of Service Vulnerability


Calculate the environmental score of CSCue18975

CVSS Base Score - 7.1

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Medium

None

None

None

Complete

CVSS Temporal Score - 5.9

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed



CSCub98434 - SQL*Net Inspection Engine Denial of Service Vulnerability

Calculate the environmental score of CSCub98434

CVSS Base Score - 7.1

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Medium

None

None

None

Complete

CVSS Temporal Score - 5.9

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed




CSCuf52468 - Digital Certificate Authentication Bypass Vulnerability

Calculate the environmental score of CSCuf52468

CVSS Base Score - 10.0

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

None

Complete

Complete

Complete

CVSS Temporal Score - 8.3

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed




CSCug83401 - Remote Access VPN Authentication Bypass Vulnerability

Calculate the environmental score of CSCug83401

CVSS Base Score - 5.0

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

None

Partial

None

None

CVSS Temporal Score - 4.1

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed




CSCuh44815 - Digital Certificate HTTP Authentication Bypass Vulnerability

Calculate the environmental score of CSCuh44815

CVSS Base Score - 10.0

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

None

Complete

Complete

Complete

CVSS Temporal Score - 8.3

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed




CSCug03975 - DNS Inspection Denial of Service Vulnerability

Calculate the environmental score of CSCug03975

CVSS Base Score - 7.1

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Medium

None

None

None

Complete

CVSS Temporal Score - 5.9

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed




CSCtt36737 - HTTP Deep Packet Inspection Denial of Service Vulnerability

Calculate the environmental score of CSCtt36737

CVSS Base Score - 7.8

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

None

None

None

Complete

CVSS Temporal Score - 6.4

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed




CSCud37992 - AnyConnect SSL VPN Memory Exhaustion Denial of Service Vulnerability

Calculate the environmental score of CSCud37992

CVSS Base Score - 7.1

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Medium

None

None

None

Complete

CVSS Temporal Score - 5.9

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed




CSCua22709 - Clientless SSL VPN Denial of Service Vulnerability

Calculate the environmental score of CSCua22709

CVSS Base Score - 7.8

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

None

None

None

Complete

CVSS Temporal Score - 6.4

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed




CSCui77398 - Crafted ICMP Packet Denial of Service Vulnerability

Calculate the environmental score of CSCui77398

CVSS Base Score - 8.5

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

None

None

Partial

Complete

CVSS Temporal Score - 7.0

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed


影響

IPsec VPN の巧妙に細工された ICMP パケットによる DoS 脆弱性、SQL*Net インスペクション エンジンの DoS 脆弱性、HTTP ディープ パケット インスペクションにおける DoS 脆弱性、DNS インスペクションにおける DoS 脆弱性、クライアントレス SSL の VPN における DoS 脆弱性が不正利用された場合、該当デバイスでリロードが発生し、サービス拒否(DoS)状態になることがあります。

デジタル証明書認証バイパスの脆弱性、リモート アクセス VPN 認証バイパスの脆弱性、デジタル証明書 HTTP 認証バイパスの脆弱性が不正利用された場合、認証をバイパスすることが可能になり、攻撃者がリモート アクセス VPN を介して内部ネットワークにアクセスしたり、Cisco ASDM を介して該当システムに管理アクセスしたりすることが可能になります。

AnyConnect SSL VPN メモリ枯渇の DoS 脆弱性が不正利用された場合、利用可能なメモリが枯渇するためシステムが不安定になり、該当システムが応答しなくなりトラフィックの転送が停止する可能性があります。

巧妙に細工された ICMP パケットによる DoS 脆弱性が不正利用された場合、該当システムを通過する有効な接続が切断されたり、該当システムがリロードされたりして、サービス拒否(DoS)状態になることがあります。

ソフトウェア バージョンおよび修正

ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt/ の Cisco Security Advisories, Responses, and Notices アーカイブや、後続のアドバイザリを参照して、起こりうる障害を判断し、それに対応できるアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードするデバイスに十分なメモリがあること、現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンス プロバイダーにお問い合わせください。

以下の表には、このアドバイザリに記載された各脆弱性に対する、Cisco ASA ソフトウェアの最初の修正リリースの情報を記載しています。最下行は、このセキュリティ アドバイザリに記載されているすべての脆弱性に対する修正を含む、各 Cisco ASA メジャー リリースのバージョン情報です。これらのリリース以降にアップグレードすることを推奨します。


7.0
7.1
7.2
8.0
8.1
8.2
8.3
8.4
8.5
8.6
8.7
9.0
9.1

IPsec VPN Crafted ICMP Packet Denial of Service Vulnerability - CSCue18975

Not Affected

Not Affected

Not Affected

Not Affected

Not Affected

Not Affected

Not Affected

Not Affected

Not Affected

Not Affected

Not Affected

Not Affected

9.1(1.7)

SQL*Net Inspection Engine Denial of Service Vulnerability - CSCub98434

Migrate to 7.2.x or later

Migrate to 7.2.x or later

7.2(5.12)

Migrate to 8.2.x or later

Migrate to 8.2.x or later

8.2(5.44)

8.3(2.39)

8.4(6)

8.5(1.18)

8.6(1.12)

8.7(1.6)

9.0(2.10)

9.1(2)

Digital Certificate Authentication Bypass Vulnerability - CSCuf52468

Not Affected

Not Affected

Not Affected

Not Affected

Not Affected

Not Affected

Not Affected

Not Affected

Not Affected

Not Affected

Not Affected

9.0(2.6)1

9.1(2)1

Remote Access VPN Authentication Bypass Vulnerability - CSCug83401

Migrate to 7.2.x or later

Migrate to 7.2.x or later

7.2(5.12)

Migrate to 8.2.x or later

Migrate to 8.2.x or later

8.2(5.46)

8.3(2.39)

8.4(6.6)

Not Affected

8.6(1.12)

Not Affected

9.0(3.1)

9.1(2.5)

Digital Certificate HTTP Authentication Bypass Vulnerability - CSCuh44815

Not Affected

Not Affected

Not Affected

Not Affected

Not Affected

8.2(5.46)

8.3(2.39)

8.4(6.6)

8.5(1.18)

8.6(1.12)

8.7(1.7)

9.0(3.1)

9.1(2.6)

HTTP Deep Packet Inspection Denial of Service Vulnerability - CSCud37992

Not Affected

Not Affected

Not Affected

Not Affected

Not Affected

8.2(5.46)1

8.3(2.39)1

8.4(5.5)1

8.5(1.18)1

8.6(1.12)1

8.7(1.4)1

9.0(1.4)1

9.1(1.2)1

DNS Inspection Denial of Service Vulnerability - CSCug03975

Not Affected

Not Affected

Not Affected

Not Affected

Not Affected

8.2(5.46)

8.3(2.39)

8.4(7)

8.5(1.18)

8.6(1.12)

8.7(1.7)

9.0(3.3)

9.1(1.8)

AnyConnect SSL VPN Memory Exhaustion Denial of Service Vulnerability - CSCtt36737

Not Affected

Not Affected

Not Affected

Not Affected

Not Affected

Not Affected

Not Affected

8.4(3)

Not Affected

8.6(1.3)

Not Affected

Not Affected

Not Affected

Clientless SSL VPN Denial of Service Vulnerability - CSCua22709

Not Affected

Not Affected

Not Affected

Migrate to 8.2.x or later

Migrate to 8.2.x or later

8.2(5.44)

8.3(2.39)

8.4(5.7)

Not Affected

8.6(1.12)

Not Affected

9.0(2.6)

9.1(1.7)

Crafted ICMP Packet Denial of Service Vulnerability - CSCui77398 Not Affected
Not Affected
Not Affected
Not Affected
Not Affected
Not Affected Not Affected
8.4(7.2)2
Not Affected
Not Affected
8.7(1.8)2
9.0(3.6)
9.1(2.8)
Recommended release that fixes all the vulnerabilities in this security advisory

Migrate to 7.2.x or later

Migrate to 7.2.x or later

7.2(5.12)

Migrate to 8.2.x or later

Migrate to 8.2.x or later

8.2(5.46) or later

8.3(2.39) or later

8.4(7.2)2 or later

8.5(1.18) or later

8.6(1.12) or later

8.7(1.8)2 or later

9.0(3.6) or later

9.1(2.8) or later



1この脆弱性は、Cisco ASA 5505、Cisco ASA 5510、Cisco ASA 5520、Cisco ASA 5540、Cisco ASA 5550 には影響しません。
28.7 および 8.4 用の修正済みソフトウェア リリースは、2013 年 10 月 30 日までに提供される予定です。このリリースの正確なバージョン番号は現在判明していませんが、Cisco ASA ソフトウェア バージョン 8.7(1.8) 以降および 8.4(7.2) 以降のすべてに、このアドバイザリで説明されたすべての脆弱性に対する修正が含まれる予定です。本ドキュメントは、最終的なバージョン番号が判明し次第、更新されます。

ソフトウェアのダウンロード

Cisco ASA ソフトウェアは Cisco.com 内の Software Center からダウンロードできます。http://www.cisco.com/cisco/software/navigator.html

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス、および Cisco ASA 5500-X Next Generation Firewall については、次の順に移動してください。[Products] > [Security] > [Firewalls] > [Adaptive Security Appliances (ASA)] > [Cisco ASA 5500 Series Adaptive Security Appliances] > [<ご利用の Cisco ASA モデル>] > [Adaptive Security Appliance (ASA) Software] これらバージョンの一部は暫定バージョンのため、ダウンロード ページの [Interim] タブを開くことで見つけることができます。

Cisco Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータ用の Cisco ASA Services Module については、次の順に移動してください。[Products] > [Cisco Interfaces and Modules] > [Cisco Services Modules] > [Cisco Catalyst 6500 Series / 7600 Series ASA Services Module] > [Adaptive Security Appliance (ASA) Software] これらバージョンの一部は暫定バージョンのため、ダウンロード ページの [Interim] タブを開くことで見つけることができます。

Cisco ASA 1000V Cloud Firewall については、次の順に移動してください。[Products] > [Security] > [Firewalls] > [Adaptive Security Appliances (ASA)] > [Cisco ASA 1000V Cloud Firewall] > [Adaptive Security Appliance (ASA) Software]

回避策

IPsec VPN の巧妙に細工された ICMP パケットによる DoS 脆弱性

LAN-to-LAN トンネルを含む VPN セットアップの場合、vpn-filer access-list を実装することにより、問題の ICMP パケットの復号化を回避することができます。次のコマンドを使用して access-list を実装し、着信と発信の両方向で DfltGrpPolicy group-policy を使用することにより、VPN トンネルを通過する ICMP パケットをブロックすることができます。
    ciscoasa(config)# access-list DENY_ICMP_ACL deny icmp any any
    ciscoasa(config)# access-list DENY_ICMP_ACL permit ip any any
    ciscoasa(config)# group-policy DfltGrpPolicy attributes
    ciscoasa(config-group-policy)# vpn-filter value DENY_ICMP_ACL
注:この脆弱性は復号化処理中に引き起こされるため、この回避策は VPN トンネルを終端する両端のデバイスに実装する必要があります。トンネルの終端の片側だけに適用しても、効果はありません。

シスコのリモート IPsec VPN の場合、この脆弱性を軽減する回避策はありません。

SQL*Net インスペクション エンジンの DoS 脆弱性

Cisco ASA SQL*Net インスペクションを無効にすることで、この脆弱性を軽減できます。次のコマンドを使用して、デフォルトで設定されている SQL*Net インスペクションを無効にすることができます。
    ciscoasa(config)# policy-map global_policy
    ciscoasa(config-pmap)# class inspection_default
    ciscoasa(config-pmap-c)# no inspect sqlnet
デジタル証明書認証バイパスの脆弱性

影響を受ける機能の認証スキーマを変更する以外に、この脆弱性を軽減する回避策はありません。

リモート アクセス VPN 認証バイパスの脆弱性

override-account-disable オプションを無効にする以外に、回避策はありません。

デジタル証明書 HTTP 認証バイパスの脆弱性

影響を受ける機能の認証スキーマを変更する以外に、この脆弱性を軽減する回避策はありません。

HTTP ディープ パケット インスペクションにおける DoS 脆弱性

影響を受けるオプションを HTTP DPI 設定から削除する以外に、回避策はありません。

DNS インスペクションにおける DoS 脆弱性

UDP トラフィックのみが、DNS ALPI エンジンに検査目的で送信されるようにすることにより、この問題を回避することができます。

これを確認するには、まず UDP トラフィックのみが一致する access-list を作成し、次にその access-list に一致する class-map を作成します。Cisco ASA ソフトウェアは、デフォルトでは UDP トラフィック 上の DNS のみを検査します。次の例は、DNS ALPI エンジンに UDP ポート 53 トラフィックのみを転送する Cisco ASA ソフトウェアを示しています。
ciscoasa# show running-config access-list
access-list DNS_INSPECT extended permit udp any any eq 53

ciscoasa# show running-config class-map
!
class-map DNS_INSPECT_CP
 match access-list DNS_INSPECT
[...]

ciscoasa# show running-config policy-map
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect ftp
  inspect h323 h225
  [...]
  class DNS_INSPECT_CP
  inspect dns preset_dns_map
!
注:TCP 上の DNS トラフィックのインスペクションは、現在、Cisco ASA ソフトウェアではサポートされていません。この回避策を実装することにより、他の機能が損なわれることはありません。

AnyConnect SSL VPN メモリ枯渇の DoS 脆弱性

AnyConnect SSL VPN 機能を無効にする以外に、回避策はありません。

クライアントレス SSL VPN における DoS 脆弱性

クライアントレス SSL VPN 機能を無効にする以外に、回避策はありません。

巧妙に細工された ICMP パケットによる DoS 脆弱性

管理者は、デフォルトの ICMP ポリシーと ICMP インスペクション エンジンを無効にして、この脆弱性を回避することができます。
デフォルトの ICMP ポリシーを無効にするには、Cisco ASA ソフトウェアの全構成インターフェイスに対して、icmp deny any <interface_name> コマンドを使用します。ICMPv6 のデフォルトの ICMP ポリシーを無効にするには、Cisco ASA ソフトウェアの全 IPv6 有効インターフェイスに対して、ipv6 icmp deny any <interface_name> コマンドを使用します。次の例は、outside インターフェイスで、ICMPv6 のデフォルト ICMP ポリシーおよびデフォル ICMP エンジンを無効にする方法を示しています。
ciscoasa(config)# icmp deny any outside
ciscoasa(config)# ipv6 icmp deny any outside
注:ファイアウォール インターフェイスの ICMP 処理を無効にすると、管理者は ICMP 経由でファイアウォールから ping や traceroute などの情報を受信できなくなる場合があります。ファイアウォール インターフェイスで ICMPv6 処理を無効にすると、ネイバー探索やネイバー アドバタイズメント ICMPv6 パケットが失われるため、ファイアウォール内のインターフェイスで通信できなくなる場合があります。

ICMP インスペクション エンジンを無効にするには、サービス ポリシーに適用されたポリシー マップ内の no inspect icmp コマンドを使用します。
次の例は、global_policy と呼ばれるポリシー マップ内の ICMP インスペクション エンジンを無効にする方法を示しています。
ciscoasa(config)# policy-map global_policy 
ciscoasa(config-pmap)# class inspection_default
ciscoasa(config-pmap-c)# no inspect icmp

修正済みソフトウェアの入手

シスコはこのアドバイザリに記載された脆弱性に対処する無償のソフトウェア アップデートを提供しています。ソフトウェアの導入を行う前に、お客様のメンテナンス プロバイダーにご相談いただくか、ソフトウェアのフィーチャ セットの互換性およびお客様のネットワーク環境の特有の問題をご確認ください。

お客様がインストールしたりサポートを受けたりできるのは、ご購入いただいたフィーチャ セットに対してのみとなります。そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は http://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.html に記載のシスコのソフトウェア ライセンスの条項に従うことに同意したことになります。

サービス契約をご利用のお客様

サービス契約をご利用のお客様は、通常のアップデート チャネルからアップグレード ソフトウェアを入手してください。ほとんどのお客様は、Cisco.com の Software Navigator からアップグレードを入手することができます。http://www.cisco.com/cisco/software/navigator.html

サードパーティのサポート会社をご利用のお客様

シスコ パートナー、正規販売代理店、サービス プロバイダーなど、サードパーティのサポート会社と以前に契約していたか、または現在契約しており、その会社からシスコ製品の提供または保守を受けているお客様は、該当するサポート会社に連絡し、正しい処置についてのサポートを受けてください。

回避策や修正の効果は、使用している製品、ネットワーク トポロジー、トラフィックの性質や組織の目的などに関するお客様の状況によって異なります。影響を受ける製品やリリースは多種多様であるため、回避策を実施する前に、対象ネットワークで適用する回避策または修正が最適であることを、お客様のサービス プロバイダーやサポート会社にご確認ください。

サービス契約をご利用でないお客様

シスコから製品を直接購入したもののシスコのサービス契約をご利用いただいていない場合、または、サードパーティ ベンダーから購入したものの修正済みソフトウェアを購入先から入手できない場合は、Cisco Technical Assistance Center(TAC)に連絡してアップグレード ソフトウェアを入手してください。
  • +1 800 553 2447(北米からの無料通話)
  • +1 408 526 7209(北米以外からの有料通話)
  • E メール:tac@cisco.com
無償アップグレードの対象製品であることを証明していただくために、製品のシリアル番号と、本アドバイザリの URL をご用意ください。サービス契約をご利用でないお客様は TAC に無償アップグレードをリクエストしてください。

さまざまな言語向けの各地の電話番号、説明、電子メール アドレスなどの、この他の TAC の連絡先情報については、シスコ ワールドワイドお問い合わせ先(http://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html)を参照してください。

不正利用事例と公式発表

Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性の不正利用事例とその公表は確認しておりません。

このセキュリティ アドバイザリに記載された脆弱性はすべて、カスタマー サポート ケースの解決中に発見されたものです。

この通知のステータス:FINAL

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。またシスコはいつでも本ドキュメントの変更や更新を実施する権利を有します。

後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して単独の転載や意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。


情報配信

このアドバイザリは次のリンクにある Cisco Security Intelligence Operations に掲載されます。

http://www.cisco.com/cisco/web/support/JP/111/1119/1119989_cisco-sa-20131009-asa-j.html

また、このアドバイザリのテキスト版が Cisco PSIRT PGP キーによるクリア署名つきで次の E メールで配信されています。
  • cust-security-announce@cisco.com
  • first-bulletins@lists.first.org
  • bugtraq@securityfocus.com
  • vulnwatch@vulnwatch.org
  • cisco@spot.colorado.edu
  • cisco-nsp@puck.nether.net
  • full-disclosure@lists.grok.org.uk
本アドバイザリに関する今後の更新は Cisco.com に掲載されますが、メーリング リストで配信されるとは限りません。更新内容については、本アドバイザリの URL でご確認ください。

更新履歴

Revision 2.1 2013-October-18 Added additional information about CSCui77398
Revision 2.0 2013-October-17 Added information about the Crafted ICMP Packet Denial of Service Vulnerability - CSCui77398
Revision 1.1 2013-October-10 Updated list of products not affected by the vulnerabilities.
Revision 1.0 2013-October-09 Initial public release.

シスコ セキュリティ手順

シスコ製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関するサポート、およびシスコからセキュリティ情報を入手するための登録方法の詳細については、Cisco.com の http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html を参照してください。この Web ページには、シスコのセキュリティ アドバイザリに関してメディアが問い合わせる際の指示が掲載されています。すべてのシスコ セキュリティ アドバイザリは、http://www.cisco.com/go/psirt/ で確認することができます。