Multiple Vulnerabilities in Cisco ASA Software

2015 年 8 月 14 日 - ライター翻訳版
その他のバージョン: PDFpdf | 英語版 (2015 年 7 月 9 日) | フィードバック



Advisory ID: cisco-sa-20141008-asa

http://www.cisco.com/cisco/web/support/JP/112/1126/1126286_cisco-sa-20141008-asa-j.html

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

Revision 3.0

Last Updated 2015 July 9 15:14 UTC (GMT)

For Public Release 2014 October 8 16:00 UTC (GMT)

関連資料:

関連する IPS シグニチャの表示

要約

2015 年 7 月 8 日の更新:Cisco PSIRT では、このセキュリティ アドバイザリで開示された CVE-2014-3383、Cisco ASA VPN Denial of Service Vulnerability に該当する Cisco ASA デバイスを使用している一部のお客様の業務の中断を認識しました。 中断を引き起こすトラフィックは特定の送信元 IPv4 アドレスに分離しました。 シスコは、そのデバイスの供給元および所有者と一緒に調査し、そのトラフィックが悪意なく送信されたものと判断しました。 修正済みの Cisco ASA ソフトウェア リリースにアップグレードすることによって、この問題を修正することを強くお勧めします。 

Cisco 適応型セキュリティ アプライアンス(ASA)ソフトウェアは、次の脆弱性の影響を受けます。

  • Cisco ASA SQL*NET Inspection Engine Denial of Service Vulnerability
  • Cisco ASA VPN Denial of Service Vulnerability
  • Cisco ASA IKEv2 Denial of Service Vulnerability
  • Cisco ASA Health and Performance Monitor Denial of Service Vulnerability
  • Cisco ASA GPRS Tunneling Protocol Inspection Engine Denial of Service Vulnerability
  • Cisco ASA SunRPC Inspection Engine Denial of Service Vulnerability
  • Cisco ASA DNS Inspection Engine Denial of Service Vulnerability
  • Cisco ASA VPN Failover Command Injection Vulnerability
  • Cisco ASA VNMC Command Input Validation Vulnerability
  • Cisco ASA Local Path Inclusion Vulnerability
  • Cisco ASA Clientless SSL VPN Information Disclosure and Denial of Service Vulnerability
  • Cisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerability
  • Cisco ASA Smart Call Home Digital Certificate Validation Vulnerability
これらの脆弱性は相互依存していないため、いずれかの脆弱性の影響を受けるリリースであっても、他の脆弱性の影響は受けない場合があります。

Cisco ASA SQL*NET Inspection Engine Denial of Service Vulnerability、Cisco ASA VPN Denial of Service Vulnerability、Cisco ASA IKEv2 Denial of Service Vulnerability、Cisco ASA Health and Performance Monitor Denial of Service Vulnerability、Cisco ASA GPRS Tunneling Protocol Inspection Engine Denial of Service Vulnerability、Cisco ASA SunRPC Inspection Engine Denial of Service Vulnerability、および Cisco ASA DNS Inspection Engine Denial of Service Vulnerability の不正利用に成功した場合は、影響を受けるデバイスのリロードが発生し、サービス妨害(DoS)状態に陥る可能性があります。

Cisco ASA VPN Failover Command Injection Vulnerability、Cisco ASA VNMC Command Input Validation Vulnerability、および Cisco ASA Local Path Inclusion Vulnerability の不正利用に成功した場合は、該当システムが完全に侵害される可能性があります。

Cisco ASA Clientless SSL VPN Information Disclosure and Denial of Service Vulnerability の不正利用に成功した場合は、内部情報が漏えいしたり、該当システムがリロードされたりする可能性があります。

Cisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerability の不正利用に成功した場合は、クライアントレス SSL VPN ポータルが侵害され、数種類の攻撃に侵害される可能性があります。この攻撃は、クロスサイト スクリプティング(XSS)、クレデンシャルの詐取、悪意のある Web ページへのユーザのリダイレクトが考えられますがそれらに限定されません。

Cisco ASA Smart Call Home Digital Certificate Validation Vulnerability の不正利用に成功した場合は、デジタル証明書の検証がバイパスされます。攻撃者はデジタル証明書認証をバイパスして、リモート アクセス VPN 経由のネットワーク内部へのアクセスまたは Cisco Adaptive Security Device Management(ASDM)経由の該当システムへの管理アクセスを獲得できる可能性があります。


シスコはこれらの脆弱性に対処するソフトウェア アップデートを提供しています。 この中のいくつかの脆弱性には影響を軽減する回避策が存在します。

このアドバイザリは、次のリンクで確認できます。
http://www.cisco.com/cisco/web/support/JP/112/1126/1126286_cisco-sa-20141008-asa-j.html

該当製品

次の製品で動作している Cisco ASA ソフトウェアは、複数の脆弱性の影響を受けます。

  • Cisco ASA 5500 シリーズ Next Generation Firewalls
  • Cisco ASA 5500-X シリーズ Next-Generation Firewalls
  • Cisco Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータ用の Cisco ASA サービス モジュール
  • Cisco ASA 1000V クラウド ファイアウォール
  • Cisco 適応型セキュリティ仮想アプライアンス(ASAv)
影響を受ける Cisco ASA ソフトウェアのリリースは、脆弱性によって異なります。 影響を受けるリリースの詳細については、このアドバイザリの「ソフトウェア バージョンおよび修正」セクションを参照してください。

脆弱性が存在する製品

Cisco ASA SQL*NET Inspection Engine Denial of Service Vulnerability

Cisco ASA ソフトウェアは、SQL*Net インスペクションが有効になっている場合に、この脆弱性の影響を受けます。

SQL*Net インスペクションが有効になっているかどうかを判断するには、show service-policy | include sqlnet コマンドを使用して、出力が返されることを確認します。 次に、SQL*Net インスペクションが有効になっている Cisco ASA ソフトウェアの例を示します。

ciscoasa# show service-policy | include sqlnet
Inspect: sqlnet, packet 0, drop 0, reset-drop 0
注:SQL*Net インスペクションはデフォルトで有効になっています。

Cisco ASA VPN Denial of Service Vulnerability

Cisco ASA ソフトウェアは、システムが IKEv1 および IKEv2 VPN 接続を終了するように設定されている場合に、この脆弱性の影響を受けます。 これには、LAN 間接続、IPSec VPN クライアントと IKEv2 AnyConnect VPN の両方を経由するリモート アクセス VPN 接続、および L2TP over IPSec VPN 接続が含まれます。 クライアントレスまたは AnyConnect SSL VPN は、この脆弱性の影響を受けません。

Cisco ASA が IKEv1 または IKEv2 VPN 接続を終了するように設定されているかどうかを確認するには、少なくとも 1 つのインターフェイスに暗号マップを設定する必要があります。 管理者は、show running-config crypto map | include interface コマンドを使用して、出力が返されることを確認する必要があります。 次に、外部インターフェイス上で設定された cmap という名前の暗号マップの例を示します。
ciscoasa# show running-config crypto map | include interface
crypto map outside_map interface outside
注:IKEv1 と IKEv2 の VPN はどちらもデフォルトでは設定されていません。

Cisco ASA IKEv2 Denial of Service Vulnerability

Cisco ASA ソフトウェアは、システムが IKEv2 VPN 接続を終了するように設定されている場合に、この脆弱性の影響を受けます。 これには、LAN 間 IKEv2 および AnyConnect IKEv2 VPN 接続が含まれます。 IKEv2 VPN が有効になっているかどうかを判断するには、show running-config crypto ikev2 | include enable コマンドを使用して、出力が返されることを確認します。 次に、外部インターフェイスで IKEv2 VPN が有効になっている Cisco ASA の例を示します。
ciscoasa# show running-config crypto ikev2 | include enable
crypto ikev2 enable outside
IKEv2 を有効にすることに加えて、Cisco ASA は IKEv2 が有効になっているインターフェイス上で暗号マップを設定する必要があります。 これは、show running-config crypto map | include interface コマンドを使用して、出力が返されることを確認することによって判断できます。 次に、外部インターフェイス上で設定された cmap という名前の暗号マップの例を示します。
ciscoasa# show running-config crypto map | include interface
crypto map outside_map interface outside
注:IKEv2 VPN はデフォルトでは有効になっていません。

Cisco ASA Health and Performance Monitor Denial of Service Vulnerability

Cisco ASA ソフトウェアは、ASDM のヘルスおよびパフォーマンス モニタリング(HPM)が有効になっている場合に、この脆弱性の影響を受けます。

HPM が有効になっているかどうかを判断するには、show running-config | include hpm コマンドを使用して、出力が返されることを確認します。 次に、HPM 機能が有効になっている Cisco ASA ソフトウェアの例を示します。

ciscoasa# show running-config | include hpm
ciscoasa# hpm topn enable
注:HPM はデフォルトでは有効になっていません。

Cisco ASA GPRS Tunneling Protocol Inspection Engine Denial of Service Vulnerability

Cisco ASA ソフトウェアは、GPRS トンネリング プロトコル(GTP)インスペクションが有効になっている場合に、この脆弱性の影響を受けます。

GTP インスペクションが有効になっているかどうかを判断するには、show service-policy | include gtp コマンドを使用して、出力が返されることを確認します。 次に、GTP インスペクションが有効になっている Cisco ASA ソフトウェアの例を示します。
ciscoasa# show service-policy | include gtp
Inspect: gtp, packet 0, drop 0, reset-drop 0
注:GTP インスペクションはデフォルトでは有効になっていません。

Cisco ASA SunRPC Inspection Engine Denial of Service Vulnerability

Cisco ASA ソフトウェアは、SunRPC インスペクションが有効になっている場合に、この脆弱性の影響を受けます。

SunRPC インスペクションが有効になっているかどうかを判断するには、show service-policy | include sunrpc コマンドを使用して、出力が返されることを確認します。 次に、SunRPC インスペクションが有効になっている Cisco ASA ソフトウェアの例を示します。
ciscoasa# show service-policy | include sunrpc
Inspect: sunrpc, packet 0, drop 0, reset-drop 0
注: SunRPC インスペクションはデフォルトで有効になっています。

Cisco ASA DNS Inspection Engine Denial of Service Vulnerability

Cisco ASA ソフトウェアは、DNS インスペクションが有効になっている場合に、この脆弱性の影響を受けます。

DNS インスペクションが有効になっているかどうかを判断するには、show service-policy | include dns コマンドを使用して、出力が返されることを確認します。 次に、DNS インスペクションが有効になっている Cisco ASA ソフトウェアの例を示します。
ciscoasa# show service-policy | include dns
Inspect: dns preset_dns_map, packet 0, drop 0, reset-drop 0, v6-fail-close 0
注: DNS インスペクションはデフォルトで有効になっています。

Cisco ASA VPN Failover Command Injection Vulnerability

Cisco ASA ソフトウェアは、システムがクライアントレス SSL VPN 以外のタイプの VPN 接続を終了するように設定されており、高可用性(HA)モード(フェールオーバー モードとも呼ばれる)に設定されている場合に、この脆弱性の影響を受けます。

管理者は、show running-config crypto map | include interface コマンドを使用してシステム上で任意のタイプの IKEv1 または IKEv2 IPSec VPN が設定されているかどうかを確認し、show running-config webvpn | include anyconnect コマンドを使用して AnyConnect SSL VPN が設定されているかどうかを確認することができます。 次に、IPSec VPN と AnyConnect SSL VPN の両方が有効になっている Cisco ASA の例を示します。
ciscoasa# show running-config webvpn | include anyconnect enable
 anyconnect enable
ciscoasa# show run crypto map | include interface
 crypto map outside_map interface outside
管理者は、show failover コマンドを使用して、フェールオーバーがオンになっていることを確認することによって、高可用性モードが設定されているかどうかを判断できます。 次に、高可用性モードが有効になっている Cisco ASA ソフトウェアの例を示します。
ciscoasa# show failover
Failover On
[...]
注:この脆弱性は、フェールオーバー キーを使用してフェールオーバー トラフィックを保護しない HA 設定にのみ影響します。 HA と VPN はデフォルトでは有効になっていません。

Cisco ASA VNMC Command Input Validation Vulnerability

影響を受けるソフトウェアのバージョンを実行しているすべての Cisco ASA がこの脆弱性の影響を受けます。

Cisco ASA Local Path Inclusion Vulnerability

影響を受けるソフトウェアのバージョンを実行しているすべての Cisco ASA がこの脆弱性の影響を受けます。

Cisco ASA Clientless SSL VPN Information Disclosure and Denial of Service Vulnerability

Cisco ASA ソフトウェアは、クライアントレス SSL VPN ポータルが有効になっている場合に、この脆弱性の影響を受けます。 クライアントレス SSL VPN ポータルが有効になっているかどうかを判断するには、show running-config webvpn コマンドを使用して、少なくとも 1 つのインターフェイスで webvpn が有効になっていることを確認します。 次に、外部インターフェイスでクライアントレス SSL VPN ポータルが有効になっている Cisco ASA の例を示します。
ciscoasa# show running-config webvpn 
webvpn
 enable outside
 [...]
注:クライアントレス SSL VPN ポータルはデフォルトでは有効になっていません。

Cisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerability

Cisco ASA ソフトウェアは、次の条件が満たされている場合に、この脆弱性の影響を受けます。
  1. クライアントレス SSL VPN ポータル機能が有効になっている
  2. デフォルト カスタマイズ オブジェクトまたはクライアントレス SSL VPN ポータル用に新しく作成されたカスタマイズ オブジェクトを ASDM でプレビューする必要がある
クライアントレス SSL VPN ポータルが有効になっているかどうかを判断するには、show running-config webvpn コマンドを使用して、少なくとも 1 つのインターフェイスで webvpn が有効になっていることを確認します。 次に、外部インターフェイスでクライアントレス SSL VPN ポータルが有効になっている Cisco ASA の例を示します。
ciscoasa# show running-config webvpn 
webvpn
 enable outside
 [...]
カスタマイズ オブジェクトのプレビューが実行されたかどうかを判断する方法はありません。 次の方法がカスタマイズ オブジェクトのプレビューに使用されます。 ASDM で、[CLIENTLESS SSL VPN ACCESS] -> [PORTAL] -> [CUSTOMIZATION] -> [PREVIEW] に移動します。

Cisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerability の侵害に関するその他の確認事項
脆弱な設定を運用しているお客様は、ポータル カスタマイズが侵害されていないことを確認する必要があります。 ポータルが侵害されていないことを確認するには、カスタマイズ オブジェクトをエクスポートして、そのオブジェクトに悪意のあるコードが含まれていないことを手動で確認します。

 新しいカスタム オブジェクトとデフォルト カスタマイズ オブジェクト(DfltCustomization)を分析する必要があります。 SSL VPN ポータル カスタマイズ オブジェクトをエクスポートするには、export webvpn customization <object name> <dest fname> コマンドを使用します。ここで、<object name> はエクスポートする SSL VPN ポータル カスタマイズ オブジェクトの名前で、<dest fname> はカスタマイズ オブジェクトのコピーを保存するファイルの名前です。

次に、デフォルト カスタマイズ オブジェクト DfltCustomizationCustomization_to_verify という名前のファイルにエクスポートする方法を示します。

ciscoasa# export webvpn customization DfltCustomization Customization_to_verify
Customization_to_verify ファイルは、デバイス ディスクに保存され、エクスポートしてさらに分析することができます。

システム上に存在するすべてのカスタマイズ オブジェクトに対してこのプロセスを繰り返す必要があります。
Cisco ASA Smart Call Home Digital Certificate Validation Vulnerability

Cisco ASA ソフトウェアは、Smart Call Home(SCH)機能がシステム上で設定されている場合、または、設定されていた場合に、この脆弱性の影響を受けます。 この機能が設定されている場合は、_SmartCallHome_ServerCA という名前のデジタル証明書トラストポイントが自動的にシステムにインストールされます。 このトラストポイントがインストールされているかどうかを判断するには、show running-config crypto ca trustpoint _SmartCallHome_ServerCA コマンドを使用して、出力が返されることを確認します。 次に、このトラストポイントがインストールされている Cisco ASA ソフトウェアの例を示します。
ciscoasa# show running-config crypto ca trustpoint _SmartCallHome_ServerCA
crypto ca trustpoint _SmartCallHome_ServerCA
 crl configure
注:このトラストポイントの存在がシステムを脆弱にしますが、この脆弱性はデジタル証明書検証サービスに依存している別の機能能が設定されていなければ不正利用されることはありません。 このような機能の例として、VPN または ASDM 接続用のデジタル証明書認証や TLS プロキシと電話プロキシが挙げられます。 SCH はデフォルトでは有効になっていません。

脆弱性が存在しない製品

他のシスコ製品においてこのアドバイザリの影響を受けるものは、現在確認されていません。

詳細

Cisco 適応型セキュリティ アプライアンス(ASA)ソフトウェアは、Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス、Cisco ASA 5500-X 次世代ファイアウォール、Cisco Catalyst 6500 シリーズ スイッチと Cisco 7600 シリーズ ルータ用の Cisco ASA サービス モジュール(ASASM)、Cisco ASA 1000V クラウド ファイアウォール、および Cisco 適応型セキュリティ仮想アプライアンス(ASAv)で使用されるオペレーティング システムです。 Cisco ASA ファミリは、ファイアウォール、侵入防御システム(IPS)、Anti-X、VPN などのネットワーク セキュリティ サービスを提供します。

Cisco ASA SQL*NET Inspection Engine Denial of Service Vulnerability

SQL*Net インスペクション エンジン コードの脆弱性を不正利用すれば、認証されていないリモート攻撃者は、該当システムのリロードを引き起こすことができます。

この脆弱性の原因は、巧妙に細工された SQL REDIRECT パケットの不適切な処理です。 攻撃者は、該当システムを介して巧妙に細工された REDIRECT パケットのシーケンスを送信することにより、この脆弱性を不正利用する可能性があります。

注:Cisco ASA SQL*Net インスペクション エンジンによって検査された中継トラフィックのみがこの脆弱性の不正利用に使用される可能性があります。 この脆弱性は、シングル コンテキスト モードとマルチ コンテキスト モードの両方においてルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードの両方に影響します。 また、この脆弱性は、IP バージョン 4(IPv4)トラフィックと IP バージョン 6(IPv6)トラフィックでトリガーされる可能性があります。

この脆弱性は、Cisco Bug ID CSCum46027登録ユーザ専用)として文書化され、Common Vulnerabilities and Exposures(CVE)ID CVE-2014-3382 が割り当てられています。

Cisco ASA VPN Denial of Service Vulnerability

Cisco 適応型セキュリティ アプライアンス(ASA)ソフトウェアの IKE コードの脆弱性を不正利用すれば、認証されていないリモート攻撃者は、該当システムのリロードを引き起こすことができます。

この脆弱性の原因は、UDP パケットの不十分な検証です。 攻撃者は、巧妙に細工された UDP パケットを該当システムに送信することによって、この脆弱性を不正利用する可能性があります。 エクスプロイトを使用すれば、攻撃者は、該当システムのリロードを引き起こすことができます。

注:該当システム宛てのトラフィックのみがこの脆弱性の不正利用に使用される可能性があります。 この脆弱性は、シングルまたはマルチ コンテキスト モードにおいてルーテッド ファイアウォール モードに設定されたシステムにのみ影響します。 また、この脆弱性は、IP バージョン 4(IPv4)トラフィックと IP バージョン 6(IPv6)トラフィックでトリガーされる可能性があります。

この脆弱性は、Cisco Bug ID CSCul36176登録ユーザ専用)として文書化され、CVE ID CVE-2014-3383 が割り当てられています。

Cisco ASA IKEv2 Denial of Service Vulnerability

Cisco ASA ソフトウェアの IKEv2 コードの脆弱性を不正利用すれば、認証されていないリモート攻撃者は、該当システムのリロードを引き起こすことができます。
この脆弱性の原因は、巧妙に細工された IKEv2 パケットの不適切な処理です。 攻撃者は、IKEv2 トンネルの確立中に巧妙に細工されたパケットを送信することによって、この脆弱性を不正利用する可能性があります。 このエクスプロイトを使用すれば、攻撃者は、該当システムのリロードを引き起こして、DoS 状態を発生させることができます。

注:該当システム宛てのトラフィックのみがこの脆弱性の不正利用に使用される可能性があります。 この脆弱性は、シングルまたはマルチ コンテキスト モードにおいてルーテッド ファイアウォール モードに設定されたシステムにのみ影響します。 また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。

この脆弱性は、Cisco Bug ID CSCum96401登録ユーザ専用)として文書化され、CVE ID CVE-2014-3384 が割り当てられています。

Cisco ASA Health and Performance Monitor Denial of Service Vulnerability

Cisco 適応型セキュリティ アプライアンス(ASA)ソフトウェアの ASDM 機能のヘルスおよびパフォーマンス モニタリング(HPM)の脆弱性を不正利用すれば、認証されていないリモート攻撃者は、影響を受けるデバイスのリロードを引き起こして、最終的にサービス妨害(DoS)状態を発生させることができます。

この脆弱性の原因は、HPM 機能の操作中の競合状態です。 攻撃者は、影響を受けるデバイスを介して確立される大量のハーフオープン同時接続を送信することによって、この脆弱性を不正利用する可能性があります。 このエクスプロイトを使用すれば、攻撃者は、該当システムのリロードを引き起こして、DoS 状態を発生させることができます。

注:中継 TCP トラフィックのみがこの脆弱性の不正利用に使用される可能性があります。 この脆弱性は、シングル コンテキスト モードとマルチ コンテキスト モードの両方においてルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードの両方に影響します。 また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。

この脆弱性は、Cisco Bug ID CSCum00556登録ユーザ専用)として文書化され、CVE ID CVE-2014-3385 が割り当てられています。

Cisco ASA GPRS Tunneling Protocol Inspection Engine Denial of Service Vulnerability

Cisco 適応型セキュリティ アプライアンス(ASA)ソフトウェアの GPRS トンネリング プロトコル(GTP)インスペクション エンジンの脆弱性を不正利用すれば、認証されていないリモート攻撃者は、該当システムのリロードを引き起こすことができます。

この脆弱性の原因は、特定のシーケンスで送信された GTP パケットの不適切な処理です。 攻撃者は、該当システムを介して巧妙に細工された GTP パケットを送信することによって、この脆弱性を不正利用する可能性があります。 エクスプロイトを使用すれば、攻撃者は、該当システムのリロードを引き起こすことができます。

注:Cisco ASA GTP インスペクション エンジンによって検査された中継トラフィックのみがこの脆弱性の不正利用に使用される可能性があります。 この脆弱性は、シングル コンテキスト モードとマルチ コンテキスト モードの両方においてルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードの両方に影響します。 また、この脆弱性は、IPv4 トラフィックでのみトリガーされる可能性があります。

この脆弱性は、Cisco Bug ID CSCum56399登録ユーザ専用)として文書化され、CVE ID CVE-2014-3386 が割り当てられています。

Cisco ASA SunRPC Inspection Engine Denial of Service Vulnerability

Cisco 適応型セキュリティ アプライアンス(ASA)ソフトウェアの SunRPC インスペクション エンジンの脆弱性を不正利用すれば、認証されていないリモート攻撃者は、該当システムのリロードを引き起こすことができます。

この脆弱性の原因は、巧妙に細工された SunRPC パケットの不十分な検証です。 攻撃者は、該当システムを介して巧妙に細工された SunRPC パケットを送信することによって、この脆弱性を不正利用する可能性があります。 エクスプロイトを使用すれば、攻撃者は、該当システムのリロードを引き起こすことができます。

注:Cisco ASA SunRPC インスペクション エンジンによって検査された中継トラフィックのみがこの脆弱性の不正利用に使用される可能性があります。 この脆弱性は、シングル コンテキスト モードとマルチ コンテキスト モードの両方においてルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードの両方に影響します。 また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。

この脆弱性は、Cisco Bug ID CSCun11074登録ユーザ専用)として文書化され、CVE ID CVE-2014-3387 が割り当てられています。

Cisco ASA DNS Inspection Engine Denial of Service Vulnerability

Cisco 適応型セキュリティ アプライアンス(ASA)ソフトウェアの DNS インスペクション エンジンの脆弱性を不正利用すれば、認証されていないリモート攻撃者は、該当システムのリロードを引き起こすことができます。
この脆弱性の原因は、巧妙に細工された DNS パケットの不十分な検証です。 攻撃者は、該当システムを介して巧妙に細工された DNS パケットを送信することによって、この脆弱性を不正利用する可能性があります。 エクスプロイトを使用すれば、攻撃者は、該当システムのリロードを引き起こすことができます。

注:Cisco ASA DNS インスペクション エンジンによって検査された中継トラフィックのみがこの脆弱性の不正利用に使用される可能性があります。 この脆弱性は、シングル コンテキスト モードとマルチ コンテキスト モードの両方においてルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードの両方に影響します。 また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。

この脆弱性は、Cisco Bug ID CSCuo68327登録ユーザ専用)として文書化され、CVE ID CVE-2014-3388 が割り当てられています。

Cisco ASA VPN Failover Command Injection Vulnerability

Cisco ASA ソフトウェアの VPN コードの脆弱性を不正利用すれば、認証されたリモート攻撃者は、フェールオーバー インターフェイスを介してスタンバイ ユニットに設定コマンドを送信することができます。 その結果、攻撃者は、アクティブ フェールオーバー ユニットとスタンバイ フェールオーバー ユニットの両方のフル コントロールを獲得できる可能性があります。

この脆弱性の原因は、確立された VPN トンネルから送られてくるパケットの内部フィルタの不適切な実装です。 攻撃者は、フェールオーバー インターフェイス IP アドレス宛てに巧妙に細工されたパケットを送信することによって、この脆弱性を不正利用する可能性があります。

注:該当システム宛てのトラフィックのみがこの脆弱性の不正利用に使用される可能性があります。 この脆弱性は、シングルまたはマルチ コンテキスト モードにおいてルーテッド ファイアウォール モードに設定されたシステムにのみ影響します。 また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。

この脆弱性は、Cisco Bug ID CSCuq28582登録ユーザ専用)として文書化され、CVE ID CVE-2014-3389 が割り当てられています。

Cisco ASA VNMC Command Input Validation Vulnerability

Cisco 適応型セキュリティ アプライアンス(ASA)ソフトウェアの Virtual Network Management Center(VNMC)ポリシー コードの脆弱性を不正利用すれば、認証されたローカル攻撃者は、root ユーザの特権を使用して基礎となる Linux オペレーティング システムにアクセスすることができます。

この脆弱性の原因は、ユーザが指定した入力の不十分なサニタイズです。 攻撃者は、該当システムに管理者としてログインして、悪意のあるスクリプトをディスクにコピーし、そのスクリプトを実行することによって、この脆弱性を不正利用する可能性があります。

注:該当システム宛てのトラフィックのみがこの脆弱性の不正利用に使用される可能性があります。 この脆弱性は、シングル コンテキスト モードとマルチ コンテキスト モードの両方においてルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードの両方に影響します。 デフォルト設定でこの脆弱性を不正利用するためには、管理アクセスまたは特権 15 アクセスが必要です。

この脆弱性は、Cisco Bug ID CSCuq41510登録ユーザ専用)と CSCuq47574登録ユーザ専用)として文書化され、CVE ID CVE-2014-3390 が割り当てられています。

Cisco ASA Local Path Inclusion Vulnerability

Cisco ASA ソフトウェアの環境変数をエクスポートする機能の脆弱性を不正利用すれば、認証されたローカル攻撃者は、悪意のあるライブラリを挿入して、システムを完全に制御することができます。

この脆弱性の原因は、LD_LIBRARY_PATH 環境の不適切な設定です。 攻撃者は、悪意のあるライブラリを該当システムの外部メモリにコピーして、システムのリロードをトリガーすることによって、この脆弱性を不正利用する可能性があります。 エクスプロイトを使用すれば、攻撃者は、該当システムで強制的に悪意のあるライブラリをロードして、基礎となる Linux OS にアクセスし、システムを完全に侵害することができます。

注:該当システム宛てのトラフィックのみがこの脆弱性の不正利用に使用される可能性があります。 この脆弱性は、シングル コンテキスト モードとマルチ コンテキスト モードの両方においてルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードの両方に影響します。 この脆弱性を不正利用するには、システムのリロードが必要です。 デフォルト設定でこの脆弱性を不正利用するためには、管理アクセスまたは特権 15 アクセスが必要です。

この脆弱性は、Cisco Bug ID CSCtq52661登録ユーザ専用)として文書化され、CVE ID CVE-2014-3391 が割り当てられています。

Cisco ASA Clientless SSL VPN Information Disclosure and Denial of Service Vulnerability

クライアントレス SSL VPN ポータル機能の脆弱性を不正利用すれば、認証されていないリモート攻撃者は、ランダムなメモリの場所にアクセスすることができます。 この脆弱性のために、攻撃者は、メモリに保存された情報にアクセスしたり、メモリのその部分を破壊したりすることによって、該当システムのリロードを引き起こす可能性があります。

この脆弱性の原因は、ユーザが指定した入力の不十分なサニタイズです。 攻撃者は、クライアントレス SSL VPN ポータルへのアクセス中に渡されるパラメータにランダム値を設定することによって、この脆弱性を不正利用する可能性があります。

注:該当システム宛てのトラフィックのみがこの脆弱性の不正利用に使用される可能性があります。 この脆弱性は、シングル コンテキスト モードにおいてルーテッド ファイアウォール モードに設定されたシステムにのみ影響します。 また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。 この脆弱性を不正利用するには、有効な TCP ハンドシェイクが必要です。

この脆弱性は、Cisco Bug ID CSCuq29136登録ユーザ専用)として文書化され、CVE ID CVE-2014-3392 が割り当てられています。

Cisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerability

クライアントレス SSL VPN ポータル カスタマイズ フレームワークの脆弱性を不正利用すれば、認証されていないリモート攻撃者は、クライアントレス SSL VPN ポータルのコンテンツを変更することによって、クレデンシャルの詐取、クロスサイト スクリプティング(XSS)、および該当システムを使用したクライアントに対する他のタイプの Web 攻撃を含む何らかの攻撃を仕掛けることができます。

この脆弱性の原因は、クライアントレス SSL VPN ポータル カスタマイズ フレームワーク内の認証チェックの不適切な実装です。 攻撃者は、RAMFS キャッシュ ファイル システムで一部のカスタマイズ オブジェクトを変更することによって、この脆弱性を不正利用する可能性があります。 エクスプロイトを使用すれば、攻撃者は、クライアントレス SSL VPN 認証をバイパスして、ポータル コンテンツを変更できます。

注:該当システム宛てのトラフィックのみがこの脆弱性の不正利用に使用される可能性があります。 この脆弱性は、シングル コンテキスト モードにおいてルーテッド ファイアウォール モードに設定されたシステムにのみ影響します。 また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。 この脆弱性を不正利用するには、有効な TCP ハンドシェイクが必要です。

この脆弱性は、Cisco Bug ID CSCup36829登録ユーザ専用)として文書化され、CVE ID CVE-2014-3393 が割り当てられています。

Cisco ASA Smart Call Home Digital Certificate Validation Vulnerability

Cisco ASA ソフトウェアの Smart Call Home(SCH)機能の脆弱性を不正利用すれば、認証されていないリモート攻撃者は、該当システム上でデジタル証明書を使用する機能が設定されている場合に、デジタル証明書検証をバイパスすることができます。

この脆弱性の原因は、SCH が設定されていると、VeriSign 証明書を含むトラストポイントが自動的にインストールされることです。 攻撃者は、該当システムに対して認証を受けるときに、VeriSign によって署名された有効な証明書を提示することによって、この脆弱性を不正利用する可能性があります。 エクスプロイトを使用すれば、攻撃者は、たとえば、特定の機能で使用されているデジタル証明書認証をバイパスすることができます。 デジタル証明書検証を使用するように設定可能な機能の例として、VPN および Adaptive Security Device Management(ASDM)認証、TLS プロキシ、および電話プロキシが挙げられます。

注:該当システム宛てのトラフィックのみがこの脆弱性の不正利用に使用される可能性があります。 この脆弱性は、シングル コンテキスト モードとマルチ コンテキスト モードの両方においてルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードの両方に影響します。 また、この脆弱性は、IPv4 トラフィックと IPv6 トラフィックでトリガーされる可能性があります。 この脆弱性を不正利用するには、有効な TCP ハンドシェイクが必要です。

この脆弱性は、Cisco Bug ID CSCun10916登録ユーザ専用)として文書化され、CVE ID CVE-2014-3394 が割り当てられています。

脆弱性スコア詳細

シスコは本アドバイザリでの脆弱性に対し、Common Vulnerability Scoring System(CVSS)に基づいたスコアを提供しています。 本セキュリティ アドバイザリでの CVSS スコアは、CVSS バージョン 2.0 に基づいています。

CVSS は、脆弱性の重要度を示唆するもので、緊急性および対応の優先度を決定する組織の手助けとなる標準ベースの評価法です。

シスコは基本評価スコア(Base Score)および現状評価スコア(Temporal Score)を提供しています。 お客様はこれらを用いて環境評価スコア(Environmental Score)を算出し、自身のネットワークにおける脆弱性の影響度を知ることができます。

シスコは次のリンクで CVSS に関する追加情報を提供しています。
http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html

またシスコでは、各ネットワークにおける環境影響度を算出する CVSS 計算ツールを次のリンクで提供しています。
http://tools.cisco.com/security/center/cvssCalculator.x


CSCum46027 - Cisco ASA SQL*NET Inspection Engine Denial of Service Vulnerability

Calculate the environmental score of CSCum46027

CVSS Base Score - 7.1

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Medium

None

None

None

Complete

CVSS Temporal Score - 5.9

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed




CSCul36176 - Cisco ASA VPN Denial of Service Vulnerability

Calculate the environmental score of CSCul36176

CVSS Base Score - 7.1

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Medium

None

None

None

Complete

CVSS Temporal Score - 5.9

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed




CSCum96401 - Cisco ASA IKEv2 Denial of Service Vulnerability

Calculate the environmental score of CSCum96401

CVSS Base Score - 7.8

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

None

None

None

Complete

CVSS Temporal Score - 6.4

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed




CSCum56399 - Cisco ASA GPRS Tunneling Protocol Inspection Engine Denial of Service Vulnerability

Calculate the environmental score of CSCum56399

CVSS Base Score - 7.1

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Medium

None

None

None

Complete

CVSS Temporal Score - 5.9

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed




CSCun11074 - Cisco ASA SunRPC Inspection Engine Denial of Service Vulnerability

Calculate the environmental score of CSCun11074

CVSS Base Score - 7.1

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Medium

None

None

None

Complete

CVSS Temporal Score - 5.9

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed




CSCum00556 - Cisco ASA Health and Performance Monitor Denial of Service Vulnerability

Calculate the environmental score of CSCum00556

CVSS Base Score - 7.1

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Medium

None

None

None

Complete

CVSS Temporal Score - 5.9

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed




CSCuo68327 - Cisco ASA DNS Inspection Engine Denial of Service Vulnerability

Calculate the environmental score of CSCuo68327

CVSS Base Score - 7.1

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Medium

None

None

None

Complete

CVSS Temporal Score - 5.9

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed




CSCuq28582 - Cisco ASA VPN Failover Command Injection Vulnerability

Calculate the environmental score of CSCuq28582

CVSS Base Score - 9.0

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

Single

Complete

Complete

Complete

CVSS Temporal Score - 7.4

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed




CSCuq41510 and CSCuq47574 - Cisco ASA VNMC Command Input Validation Vulnerability

Calculate the environmental score of CSCuq41510 and CSCuq47574

CVSS Base Score - 6.8

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Local

Low

Single

Complete

Complete

Complete

CVSS Temporal Score - 5.6

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed




CSCtq52661 - Cisco ASA Local Path Inclusion Vulnerability

Calculate the environmental score of CSCtq52661

CVSS Base Score - 6.8

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Local

Low

Single

Complete

Complete

Complete

CVSS Temporal Score - 5.6

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed




CSCuq29136 - Cisco ASA Clientless SSL VPN Information Disclosure and Denial of Service Vulnerability

Calculate the environmental score of CSCuq29136

CVSS Base Score - 8.3

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Medium

None

Partial

Partial

Complete

CVSS Temporal Score - 6.9

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed




CSCup36829 - Cisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerability

Calculate the environmental score of CSCup36829

CVSS Base Score - 4.3

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Medium

None

None

Partial

None

CVSS Temporal Score - 3.6

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed




CSCun10916 - Cisco ASA Smart Call Home Digital Certificate Validation Vulnerability

Calculate the environmental score of CSCun10916

CVSS Base Score - 5.0

Access Vector

Access Complexity

Authentication

Confidentiality Impact

Integrity Impact

Availability Impact

Network

Low

None

Partial

None

None

CVSS Temporal Score - 4.1

Exploitability

Remediation Level

Report Confidence

Functional

Official-Fix

Confirmed

影響

Cisco ASA SQL*NET Inspection Engine Denial of Service Vulnerability、Cisco ASA VPN Denial of Service Vulnerability、Cisco ASA IKEv2 Denial of Service Vulnerability、Cisco ASA Health and Performance Monitor Denial of Service Vulnerability、Cisco ASA GPRS Tunneling Protocol Inspection Engine Denial of Service Vulnerability、Cisco ASA SunRPC Inspection Engine Denial of Service Vulnerability、および Cisco ASA DNS Inspection Engine Denial of Service Vulnerability の不正利用に成功した場合は、影響を受けるデバイスのリロードが発生し、サービス妨害(DoS)状態に陥る可能性があります。

Cisco ASA VPN Failover Command Injection Vulnerability、Cisco ASA VNMC Command Input Validation Vulnerability、および Cisco ASA Local Path Inclusion Vulnerability の不正利用に成功した場合は、該当システムが完全に侵害される可能性があります。

Cisco ASA Clientless SSL VPN Information Disclosure and Denial of Service Vulnerability の不正利用に成功した場合は、内部情報が漏えいしたり、該当システムがリロードされたりする可能性があります。

Cisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerability の不正利用に成功した場合は、クライアントレス SSL VPN ポータルが侵害され、クロスサイト スクリプティング(XSS)、クレデンシャルの詐取、または、悪意のある Web ページへのユーザのリダイレクトに限定されない数種類の攻撃に侵害される可能性があります。

Cisco ASA Smart Call Home Digital Certificate Validation Vulnerability の不正利用に成功した場合は、デジタル証明書の検証がバイパスされ、攻撃者がデジタル証明書認証をバイパスするためにアクセスして、リモート アクセス VPN 経由のネットワーク内部へのアクセスまたは Cisco Adaptive Security Device Management(ASDM)経由の該当システムへの管理アクセスを獲得できます。

ソフトウェア バージョンおよび修正

ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt の Cisco Security Advisories, Responses, and Notices アーカイブや、後続のアドバイザリを参照して侵害の可能性と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードするデバイスに十分なメモリがあること、現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。 不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンス プロバイダーにお問い合わせください。

次の表に、Cisco ASA ソフトウェアのメジャー リリースごとに、このアドバイザリに記載された各脆弱性に対する最初の修正リリースを示します。 最下行は、このセキュリティ アドバイザリに記載されているすべての脆弱性に対する修正を含む、各 Cisco ASA メジャー リリースのバージョン情報です。 これらのリリース バージョン以降のリリースにアップグレードする必要があります。



7.2
8.2
8.3
8.4
8.5
8.6
8.7
9.0
9.1
 9.2
 9.3
CSCum46027 - Cisco ASA SQL*NET Inspection Engine Denial of Service Vulnerability

7.2(5.13)

8.2(5.50)

8.3(2.42)

8.4(7.15)

8.5(1.21)

8.6(1.14)

8.7(1.13)

9.0(4.5)

9.1(5.1)

Not Affected Not Affected
CSCul36176 - Cisco ASA VPN Denial of Service Vulnerability

Not Affected

Not Affected

Not Affected

Not Affected

Not Affected

Not Affected

Not Affected

Not Affected

9.1(5.1)1

Not Affected Not Affected
CSCum96401 - Cisco ASA IKEv2 Denial of Service Vulnerability Not Affected  Not Affected Not Affected 8.4(7.15) Not Affected 8.6(1.14) Not Affected 9.0(4.8) 9.1(5.1) Not Affected Not Affected
CSCum00556 - Cisco ASA Health and Performance Monitor Denial of Service Vulnerability

Not Affected

Not Affected

8.3(2.42)

8.4(7.11)

8.5(1.19)

8.6(1.13)

8.7(1.11)

9.0(4.8)

9.1(4.5)

Not Affected Not Affected
CSCum56399 - Cisco ASA GPRS Tunneling Protocol Inspection Engine Denial of Service Vulnerability

Not Affected

8.2(5.51)

Not Affected

8.4(7.15)

Not Affected

Not Affected

8.7(1.13)

9.0(4.8)

9.1(5.1)

Not Affected Not Affected 
CSCun11074 - Cisco ASA SunRPC Inspection Engine Denial of Service Vulnerability 7.2(5.14) 8.2(5.51) 8.3(2.42) 8.4(7.23) 8.5(1.21) 8.6(1.14) 8.7(1.13)
9.0(4.5) 9.1(5.3) Not Affected Not Affected
CSCuo68327 - Cisco ASA DNS Inspection Engine Denial of Service Vulnerability Not Affected Not Affected Not Affected Not Affected Not Affected Not Affected Not Affected 9.0(4.13)2 9.1(5.7)2 9.2(2) Not Affected

CSCuq28582 - Cisco ASA VPN Failover Command Injection Vulnerability

7.2(5.15) 8.2(5.51) 8.3(2.42) 8.4(7.23)
Not Affected 8.6(1.15) Not Affected
9.0(4.24) 9.1(5.12) 9.2(2.6) 9.3(1.1)

CSCuq41510 and CSCuq47574 - Cisco ASA VNMC Command Input Validation Vulnerability

Not Affected Not Affected Not Affected Not Affected Not Affected Not Affected 8.7(1.14) Not Affected Not Affected 9.2(2.8) 9.3(1.1)
CSCtq52661 - Cisco ASA Local Path Inclusion Vulnerability Not Affected
8.2(5.52)
Not Available - Upgrade to 8.4 or later 8.4(3) Not Available - Upgrade to 9.0 or later Not Affected
8.7(1.13) Not Affected
Not Affected
Not Affected Not Affected
CSCuq29136 - Cisco ASA Clientless SSL VPN Information Disclosure and Denial of Service Vulnerability Not Affected 8.2(5.51) 8.3(2.42) 8.4(7.23) Not Affected 8.6(1.15) Not Affected 9.0(4.24) 9.1(5.12) 9.2(2.8) 9.3(1.1)
CSCup36829 - Cisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerability3 Not Affected 8.2(5.51)3 8.3(2.42)3 8.4(7.23)3
Not Affected 8.6(1.14)3
Not Affected 9.0(4.24)3 9.1(5.12)3 9.2(2.4)3
Not Affected
CSCun10916 - Cisco ASA Smart Call Home Digital Certificate Validation Vulnerability Not Affected 8.2(5.50) Not Affected 8.4(7.15) Not Affected 8.6(1.14) 8.7(1.13) 9.0(4.8) 9.1(5.1) Not Affected
Not Affected
Recommended release that fixes all the vulnerabilities in this security advisory 7.2(5.15) and later
8.2(5.52) and later Not Available - Upgrade to 8.4 or later 8.4(7.23) and later Not Available - Upgrade to 9.0 or later
8.6(1.15) and later 8.7(1.14) and later 9.0(4.24) and later 9.1(5.12) and later 9.2(2.8) and later 9.3(1.1) and later

1Cisco ASA VPN Denial of Service Vulnerability は、Cisco ASA ソフトウェア リリース 9.1(4.3) で発生しました。
2Cisco ASA DNS Inspection Engine Denial of Service Vulnerability は、Cisco ASA ソフトウェア リリース 9.0(4.8) および 9.1(5.2) で発生しました。
3Cisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerability の影響を受けるお客様は、「Cisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerability に関する重要な注意点」セクションでこの脆弱性の軽減方法に関する追加情報をお読みください。

注:Cisco ASA ソフトウェア リリース 9.3(1.1) は 2014 年 11 月 10 日に公開予定です。

Cisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerability に関する重要な注意点
ソフトウェア リリースに関係なく、脆弱な設定を運用しているお客様は、ポータル カスタマイズが侵害されていないことを確認する必要があります。 Cisco ASA ソフトウェアの修正バージョンにアップグレードすれば、この脆弱性の不正利用を防ぐことができますが、すでに侵害された、システム上に存在するカスタマイズ オブジェクトは変更されません。 攻撃者がカスタマイズ オブジェクトを侵害していた場合は、その侵害されたオブジェクトがアップグレード後もそのまま残ります。

カスタマイズ オブジェクトが侵害されているかどうかを確認するには、このアドバイザリの「脆弱性が認められる製品」セクションに含まれている「Cisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerability に関するその他の侵害表示」の手順に従ってください。

デフォルト カスタマイズ オブジェクト(DfltCustomization)を復元するには、次の方法を使用できます。
  1. デフォルト テンプレートをファイルにエクスポートします。 次に、デフォルト テンプレートを default_template という名前のファイルにエクスポートする例を示します。
  2. ciscoasa# export webvpn customization Template default_template
  3. デフォルト テンプレートをデフォルト カスタマイズ オブジェクト(DfltCustomization)としてインポートします。
ciscoasa# import webvpn customization DfltCustomization default_template
注:これにより、デフォルト カスタマイズ オブジェクト(DfltCustomization)に加えられた変更がオーバーライドされます。 デフォルト カスタマイズ オブジェクト(DfltCustomization)をシステムから削除することはできません。

import webvpn customization コマンドを使用すれば、非デフォルト カスタマイズ オブジェクトを手動で編集して確認してから復元することもできます。 非デフォルト カスタマイズ オブジェクトを削除するには、ASDM で [CLIENTLESS SSL VPN ACCESS] -> [PORTAL] -> [CUSTOMIZATION] に移動します。 [CUSTOMIZATION] パネルで、非デフォルト カスタマイズ オブジェクトを選択して、[Delete] をクリックします。
 

ソフトウェアのダウンロード

Cisco ASA ソフトウェアは、http://www.cisco.com/cisco/software/navigator.html にある Cisco.com の Software Center からダウンロードできます。

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスと Cisco ASA 5500-X 次世代ファイアウォールの場合は、[Products] > [Security] > [Firewalls] > [Adaptive Security Appliances (ASA)] > [Cisco ASA 5500 Series Adaptive Security Appliances] > [<お使いの Cisco ASA モデル>] > [Adaptive Security Appliance (ASA) Software] に移動します。 これらのバージョンの一部は interim バージョンであり、ダウンロード ページの [Interim] タブを展開することによって表示されることに注意しください。

Cisco Catalyst 6500 シリーズ スイッチと Cisco 7600 シリーズ ルータ用の Cisco ASA サービス モジュールの場合は、[Products] > [Cisco Interfaces and Modules] > [Cisco Services Modules] > [Cisco Catalyst 6500 Series / 7600 Series ASA Services Module] > [Adaptive Security Appliance (ASA) Software] に移動します。 これらのバージョンの一部は interim バージョンであり、ダウンロード ページの [Interim] タブを展開することによって表示されることに注意しください。

Cisco ASA 1000V クラウド ファイアウォールの場合は、[Products] > [Security] > [Firewalls] > [Adaptive Security Appliances (ASA)] > [Cisco ASA 1000V Cloud Firewall] > [Adaptive Security Appliance (ASA) Software] に移動します。

Cisco Web セキュリティ仮想アプライアンス(ASAv)の場合は、[Products] > [Security] > [Firewalls] > [Adaptive Security Appliances (ASA)] > [Cisco Adaptive Security Virtual Appliance (ASAv)] > [Adaptive Security Appliance (ASA) Software] に移動します。

回避策

以下の脆弱性については、該当する機能を無効化するほかには回避策がありません。

  • Cisco ASA SQL*NET Inspection Engine Denial of Service Vulnerability
  • Cisco ASA VPN Denial of Service Vulnerability
  • Cisco ASA IKEv2 Denial of Service Vulnerability
  • Cisco ASA Health and Performance Monitor Denial of Service Vulnerability
  • Cisco ASA GPRS Tunneling Protocol Inspection Engine Denial of Service Vulnerability
  • Cisco ASA SunRPC Inspection Engine Denial of Service Vulnerability
  • Cisco ASA DNS Inspection Engine Denial of Service Vulnerability
  • Cisco ASA VNMC Command Input Validation Vulnerability
  • Cisco ASA Local Path Inclusion Vulnerability
  • Cisco ASA Clientless SSL VPN Information Disclosure and Denial of Service Vulnerability
  • Cisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerability
  • Cisco ASA Smart Call Home Digital Certificate Validation Vulnerability
注:Cisco ASA Smart Call Home Digital Certificate Validation Vulnerability については、SCH 設定を削除してもトラストポイントは削除されません。 トラストポイントを削除するには、管理者が no crypto ca trustpoint <TP_name> コマンドを使用する必要があります。 次に、SCH 機能によって有効にされたトラストポイントを削除する例を示します。 このトラストポイントを削除すると、SCH の正常な動作が停止します。
ciscoasa(config)# no crypto ca trustpoint _SmartCallHome_ServerCA
Cisco ASA VPN Failover Command Injection Vulnerability については、フェールオーバー キーを設定することで、この問題を回避できます。 フェールオーバー キーを設定するには、failover key <key> コマンドを使用します。 次に、cisco-key という名前のフェールオーバー キーを設定する例を示します。
ciscoasa(config)#failover key cisco-key
注: failover ipsec コマンドを使用しても、この問題は回避できません。

修正済みソフトウェアの入手

シスコはこのアドバイザリに記載された脆弱性に対処するソフトウェア アップデートを提供しています。 ソフトウェアの導入を行う前に、お客様のメンテナンス プロバイダーにご相談いただくか、ソフトウェアのフィーチャ セットの互換性およびお客様のネットワーク環境の特有の問題をご確認ください。

お客様がインストールしたりサポートを受けたりできるのは、ご購入いただいたフィーチャ セットに対してのみとなります。 そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は http://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.html に記載のシスコのソフトウェア ライセンスの条項に従うことに同意したことになります。

サービス契約をご利用のお客様

サービス契約をご利用のお客様は、通常のアップデート チャネルから ソフトウェアを入手してください。 ほとんどのお客様は、Cisco.com の Software Navigator からソフトウェア パッチおよびバグ フィックスを入手することができます。http://www.cisco.com/cisco/software/navigator.html

サードパーティのサポート会社をご利用のお客様

シスコ パートナー、正規販売代理店、サービス プロバイダーなど、サードパーティのサポート会社と以前に契約していたか、または現在契約しており、その会社からシスコ製品の提供または保守を受けているお客様は、該当するサポート会社に連絡し、正しい処置についてのサポートを受けてください。

回避策や修正の効果は、使用している製品、ネットワーク トポロジー、トラフィックの性質や組織の目的などに関するお客様の状況によって異なります。 影響を受ける製品やリリースは多種多様であるため、回避策を実施する前に、対象ネットワークで適用する回避策または修正が最適であることを、お客様のサービス プロバイダーやサポート会社にご確認ください。

サービス契約をご利用でないお客様

シスコから製品を直接購入したもののシスコのサービス契約をご利用いただいていない場合、または、シスコ認定パートナー、リセラー、およびディストリビュータ(認定サードパーティ ベンダー)から購入したものの修正済みソフトウェアを購入先から入手できない場合は、Cisco Technical Assistance Center(TAC)に連絡してソフトウェア パッチおよびバグ フィックスを入手してください。

  • +1 800 553 2447(北米内からのフリー ダイヤル)
  • +1 408 526 7209(北米以外からの有料通話)
  • E メール:tac@cisco.com
ソフトウェア パッチまたはバグ フィックスの対象製品であることを証明していただくために、製品のシリアル番号と、本アドバイザリの URL をご用意ください。 サービス契約をご利用でないお客様は TAC にソフトウェア パッチまたはバグ フィックスを要求してください。

さまざまな言語向けの各地の電話番号、説明、電子メール アドレスなどの、この他の TAC の連絡先情報については、シスコ ワールドワイドお問い合わせ先(http://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html)を参照してください。

不正利用事例と公式発表

Cisco ASA VPN Failover Command Injection Vulnerability、Cisco ASA VNMC Command Input Validation Vulnerability、および Cisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerability は、Alec Stuart-Muirk 氏によってシスコに報告されました。

Cisco ASA VPN Failover Command Injection Vulnerability、Cisco ASA VNMC Command Input Validation Vulnerability、Cisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerability、および Cisco ASA Local Path Inclusion Vulnerability の不正利用については、Alec Stuart-Muirk 氏によって Ruxcon 2014 セキュリティ カンファレンスで実演されました。

Cisco ASA Clientless SSL VPN Information Disclosure and Denial of Service Vulnerability は、SecurityMetrics 社の Hyrum M 氏によってシスコに報告されました。
この脆弱性のエクスプロイトを示す Hyrum M 氏のブログ投稿も公開されています。

このアドバイザリに記載された上記以外の脆弱性はすべて、シスコの社内テスト中またはカスタマー サポート ケースの解決中に発見されたものです。

Cisco Product Security Incident Response Team(PSIRT)では、このアドバイザリに記載された上記以外の脆弱性に関する公式発表を確認していません。

Cisco PSIRT では、Cisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerability の悪意のある使用を確認しています。
このセキュリティ アドバイザリの「ソフトウェア バージョンおよび修正」セクションの「Cisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerability に関する重要な注意点」に目を通して、この脆弱性の修正が含まれているバーションにアップグレードすることをお勧めします。

2015 年 7 月 8 日の更新:Cisco PSIRT では、このセキュリティ アドバイザリで開示された CVE-2014-3383、Cisco ASA VPN Denial of Service Vulnerability に該当する Cisco ASA デバイスを使用している一部のお客様の業務の中断を認識しました。 中断を引き起こすトラフィックは特定の送信元 IPv4 アドレスに分離しました。 シスコは、そのデバイスの供給元および所有者と一緒に調査し、そのトラフィックが悪意なく送信されたものと判断しました。 修正済みの Cisco ASA ソフトウェア リリースにアップグレードすることによって、この問題を修正することを強くお勧めします。 

Cisco PSIRT では、このアドバイザリに記載されている他の脆弱性の悪意のある使用を確認していません。

この通知のステータス:Interim

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証を示唆するものでもありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 またシスコはいつでも本ドキュメントの変更や更新を実施する権利を有します。 シスコは、新しい情報を入手次第このドキュメントを更新する予定です。

後述する情報配信の URL を省略し、本アドバイザリの記述内容に関して、単独の転載や意訳を実施した場合には、事実誤認ないし重要な情報の欠落を含む統制不可能な情報の伝搬が行われる可能性があります。


情報配信

このアドバイザリは次のリンクにある Cisco Security に掲載されます。
http://www.cisco.com/cisco/web/support/JP/112/1126/1126286_cisco-sa-20141008-asa-j.html

また、このアドバイザリのテキスト版が Cisco PSIRT PGP キーによるクリア署名つきで次の E メールで配信されています。

  • cust-security-announce@cisco.com
  • first-bulletins@lists.first.org
  • bugtraq@securityfocus.com
  • vulnwatch@vulnwatch.org
  • cisco@spot.colorado.edu
  • cisco-nsp@puck.nether.net
  • fulldisclosure@seclists.org
本アドバイザリに関する今後の更新は Cisco.com に掲載されますが、メーリング リストで配信されるとは限りません。 更新内容については、本アドバイザリの URL でご確認ください。

今後のドキュメントや関連コンテンツの入手手順については、Security Vulnerability PolicyReceiving Security Vulnerability Information from Cisco を参照してください。


更新履歴

Revision 3.0 2015-July-09 Moved the July 8 update information to the top of the Summary section.
Revision 3.0 2015-July-08 Updated the “Summary” and “Exploitation and Public Announcements" sections of this advisory with additional information on CSCul36176 - Cisco ASA VPN Denial of Service Vulnerability.
Revision 2.0 2015-February-11 Added important information about Cisco ASA Clientless SSL VPN Portal Customization Integrity Vulnerability - CSCup36829 - in the "Vulnerable Products," "Software Versions and Fixes," and "Exploitation and Public Announcements" sections of this advisory.
Revision 1.2 2015-January-13 Added information about first fixed release for CSCtq52661.
Revision 1.1 2014-October-24 Updated the target date for Cisco ASA Software version 9.3(1.1) and the "Exploitation and Public Announcements" Section.
Revision 1.0 2014-October-08 Initial public release.

シスコ セキュリティ手順

シスコ製品におけるセキュリティの脆弱性の報告、セキュリティ事故に関するサポート、およびシスコからセキュリティ情報を入手するための登録方法の詳細については、Cisco.com の http://www.cisco.com/web/about/security/psirt/security_vulnerability_policy.html を参照してください。 この Web ページには、Cisco Security Advisory に関してメディアが問い合わせる際の指示が掲載されています。 すべてのシスコ セキュリティ アドバイザリは、http://www.cisco.com/go/psirt/ で確認することができます。