日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco VPN 3000シリーズコンセントレータは、データの暗号化と認証用に設計されたリモートアクセスVirtual Private Network(VPN;バーチャルプライベートネットワーク)プラットフォームのファミリです。
悪意のあるユーザが巧妙に細工されたパケットをコンセントレータに送信すると、デバイスの停止やユーザ接続のドロップを引き起こす可能性があります。回復するには、デバイスの電源をリセットする必要があります。
シスコでは、該当するお客様用に、この脆弱性に対応する無償ソフトウェアを提供しております。この脆弱性を軽減する回避策もあります。
該当製品
このセクションには、該当製品に関する詳細が掲載されています。
脆弱性のある製品
Cisco VPN 3000シリーズコンセントレータ3005、3015、3020、3030、および3080は、この脆弱性の影響を受けます。
脆弱性を含んでいないことが確認された製品
次の製品には脆弱性が存在しないことが確認されています。
-
Cisco VPN 3002 ハードウェア クライアント
-
Cisco IPSec VPNサービスモジュール(VPNSM)
-
Cisco WebVPNサービスモジュール(WebVPN)
-
Cisco VPN 5000コンセントレータ
-
Cisco PIX ファイアウォール
-
Cisco Adaptive Security Appliance(ASA)
-
シスコのInternetwork Operating System(IOS)が稼働する任意のシスコデバイス
-
シスコのCatalystオペレーティングシステム(CatOS)が稼働する任意のシスコデバイス
現在、これらの脆弱性が存在するシスコ製品は他に存在しません。
詳細
Hypertext Transfer Protocol(HTTP;ハイパーテキスト転送プロトコル)は、World Wide Web上のファイル(テキスト、グラフィック画像、サウンド、ビデオ、およびその他のマルチメディアファイル)を交換するための一連のルールです。HTTPは、デフォルトのTCPポートが80のアプリケーションプロトコルです。この脆弱性により、悪意のあるユーザが巧妙に細工されたHTTPパケットを送信し、該当デバイスのリロードやユーザ接続のドロップを引き起こす可能性があります。
該当する製品は、HTTPサービスが有効になっている場合にのみ脆弱です。デフォルトでは、VPN 3000デバイスではHTTPが有効になっていますが、手動で無効にすることもできます。該当するデバイスは通過トラフィックに対して脆弱ではなく、そのデバイス宛てのトラフィックのみがこの脆弱性を不正利用する可能性があります。
HTTPサービスが有効になっているかどうかを確認するには、次の手順を実行します。
-
デバイスの設定をチェックして、HTTPサービスのステータスを確認します。
-
http://ip_address_of_device/のようなURLの使用をサポートする標準のWebブラウザを使用して、デバイスへの接続を試みます。
この脆弱性は、Cisco Bug ToolkitにBug ID CSCsb77324(登録ユーザ専用)およびCSCsd26340(登録ユーザ専用)として文書化されています。
脆弱性のあるバージョンのCisco VPN 3000では、特定のTCP接続が積極的に管理されないため、コンセントレータがサービス拒否攻撃に対して脆弱になる可能性があります。
-
CSCsb77324:悪意のあるユーザが巧妙に細工された一連の小さなHTTPパケットをコンセントレータに送信する可能性があり、これが原因でデバイスがユーザ接続を停止してドロップします。回復するには、デバイスの電源をリセットする必要があります。
-
CSCsd26340:コンセントレータがポート80へのTCP接続を積極的に管理することがないため、オープン接続でメモリやその他のリソースが消費されるシナリオが発生します。特定のシナリオでは、コンセントレータはユーザ接続を停止およびドロップします。その後、コンソールアクセスを介して、またはデバイスの電源をリセットすることによって、デバイスを再起動する必要があります。あるいは、デバイスは約20分以内に自動的に回復しますが、この間はコンソールアクセス以外にデバイスを使用できません。
回避策
このセクションでは、この脆弱性の回避策について説明します。
HTTPの無効化
HTTPを無効にすると、この脆弱性を効果的に軽減できます。
HTTPを無効にすると、コンセントレータでWebVPN接続が設定されている場合に、コンセントレータの管理とWebVPN接続の両方にHTTPS(HyperText Transfer Protocol Secure)を使用するようにコンセントレータを設定できます。
この回避策を実装するには、最初にHTTPSを有効にし、次にHTTPを無効にします。
WebVPNを使用する場合は、設定されている可能性のあるHTTPプロキシも無効にすることが重要です(WebVPNが有効な場合、WebVPNに対してHTTPSが常に有効になります)。
コンセントレータのHTTPS管理を有効にする方法の詳細については、次を参照してください。
コンセントレータのHTTP管理を無効にする方法の詳細については、次を参照してください。
WebVPN HTTPプロキシを無効にする方法の詳細については、次を参照してください。
インフラストラクチャ ACL
VPN3000へのHTTPは、信頼できるネットワークへのすべてのアクセスを制御するスクリーニングルータ、スイッチ、およびファイアウォール上のインフラストラクチャACLの一部としてブロックされる可能性があります。インフラストラクチャ ACL はネットワーク セキュリティのベスト プラクティスと考えられており、ここでの特定の脆弱性の回避策としてだけでなく、優れたネットワーク セキュリティへの長期的な付加機能として考慮する必要があります。ホワイトペーパー『Protecting Your Core: Infrastructure Protection Access Control Lists(コアの保護:インフラストラクチャ保護アクセスコントロールリスト)』では、次のガイドラインと推奨される導入手法について説明しています。
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_white_paper09186a00801a1a55.shtml
修正済みソフトウェア
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
脆弱性 |
該当するメジャー リリース |
First Fixed Release(修正された最初のリリース) |
HTTP DoS攻撃(CSCsb77324) |
4.0.X以前 |
脆弱性なし |
4.1.X |
脆弱性なし |
|
4.7.2. |
4.7.2.B |
|
TCP攻撃(CSCsd26340) |
4.0.X以前 |
脆弱性なし |
4.1.X |
4.1.7.L |
|
4.7.X |
4.7.2.F |
Cisco VPN 3000シリーズユーザは、バージョン4.1.7.Lまたは4.7.2.F以降のソフトウェアにアップグレードして、両方の脆弱性を解決できます。
Cisco VPN 3000ソフトウェアは、http://www.cisco.com/pcgi-bin/tablebuild.pl/vpn3000-3desからダウンロードできます。
アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。
不正利用事例と公式発表
Cisco PSIRTでは、このアドバイザリに記載されている脆弱性の不正利用事例は確認しておりません。
これらの問題は、EsentireのEldon Sprickerhoff氏によってシスコに報告され、2006年1月14日のShmooconセキュリティ会議で議論されました。
URL
改訂履歴
Revision 2.1 |
2007年8月14日 |
固定リンク. |
Revision 2.0 |
2006年4月26日 |
DDTS CSCsd26340を含むように更新。 |
リビジョン 1.1 |
2006年2月1日 |
– この脆弱性の不正利用が成功した場合の影響を修正しました。デバイスはリロードされずに停止します。 – この脆弱性が説明されたセキュリティ会議の名前の誤入力を修正しました。 |
リビジョン 1.0 |
2006年1月26日 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。