Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスの多重 脆弱点

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスは多重 脆弱点から影響を受けます。 Cisco ASA ソフトウェアの影響を受けたバージョンは特定の脆弱性によって変わります。 特定のバージョン情報に関しては、このアドバイザリのソフトウェア バージョン および 修正 セクションを参照して下さい。

TCP 接続枯渇サービス拒否の脆弱性

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスは TCP 接続の終了フェーズの間に特定の TCP セグメントの受け取りを通して引き起こすことができる TCP 接続枯渇状態を経験するかもしれません（新しい TCP 接続は許可されません）。 次の機能の何れかのために設定されるときバージョン 7.1.x を実行しているアプライアンス、7.2.x、8.0.x、8.1.x および 8.2.x は影響を受けています:

• SSL VPN
  
• Cisco Adaptive Security Device Manager （ASDM）管理アクセス
  
• Telnet 経由のアクセス
  
• SSH アクセス
  
• 仮想 Telnet
  
• バーチャルHTTP
  
• 暗号化された音声 インスペクション用の Transport Layer Security （TLS）プロキシ
  

SIP インスペクション サービス拒否の脆弱性

2 サービス拒否 （DoS）脆弱性は Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスの SIP インスペクション 機能に影響を与えます。 バージョン 7.0.x、7.1.x、7.2.x、8.0.x、8.1.x および 8.2.x は影響を受けています。 SIP インスペクションはデフォルトで有効に なります。

SIP インスペクションが有効に なるかどうか確認するために、show service ポリシーを発行して下さい | 一口コマンドを含み、出力が戻ることを確認して下さい。 出力例は次の例で表示する:

ciscoasa#show service-policy | include sip
      Inspect: sip , packet 0, drop 0, reset-drop 0

また、有効に なる SIP インスペクションがあるアプライアンスに次と同じような設定があります:

class-map inspection_default
 match default-inspection-traffic
!
policy-map global_policy
 class inspection_default
  ...
  inspect sip
  ...
!
service-policy global_policy global

SCCP インスペクション サービス拒否の脆弱性

サービス拒否の脆弱性は Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスの SCCP インスペクション 機能に影響を与えます。 バージョン 8.0.x、8.1.x および 8.2.x は影響を受けています。 SCCP インスペクションはデフォルトで有効に なります。

SCCP インスペクションが有効に なるかどうか確認するために、show service ポリシーを発行して下さい | スキニー コマンドを含み、出力が戻ることを確認して下さい。 出力例は次の例で表示する:

ciscoasa#show service-policy | include skinny
      Inspect: skinny , packet 0, drop 0, reset-drop 0

また、有効に なる SCCP インスペクションがあるアプライアンスに次と同じような設定があります:

class-map inspection_default
 match default-inspection-traffic
!
policy-map global_policy
 class inspection_default
  ...
  inspect skinny
  ...
!
service-policy global_policy global

WebVPN DTLS サービス拒否の脆弱性

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスは存在 します サービス拒否の脆弱性から WebVPN および DTLS が有効に なるとき影響を受けま。 影響を受けたバージョンは 7.1.x、7.2.x、8.0.x、8.1.x および 8.2.x が含まれています。 管理者は「webvpn」コンフィギュレーションモードのイネーブル <interface 名前 > コマンドで WebVPN を有効に することができます。 DTLS は「グループ ポリシー webvpn」コンフィギュレーションモードの SVC dtls enable コマンドの発行によって有効に することができます。 次のコンフィギュレーション の 断片は DTLS を有効に する WebVPN 設定の例を提供します:

webvpn
 enable outside
 svc enable
 ...
!
group-policy <group name> internal
group-policy <group name> attributes
 ...
 webvpn
  svc dtls enable
  ...

WebVPN がデフォルトでディセーブルにされるが、DTLS は最近のソフトウェアリリースでデフォルトで有効に なります。

巧妙に細工された TCP セグメント サービス拒否の脆弱性

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスは不正 な TCP セグメントによって引き起こすことができるサービス拒否の脆弱性から影響を受けますアプライアンスを通過する。 この脆弱性はコンフィギュレーションだけに影響を与えます静的な文の終わりでネイルドされたオプションを使用する。 さらに、トラフィックはまたインライン モードの Cisco AIP-SSM （静的な文と一致する侵入防御システム（IPS） モジュール）によって検査する必要があります。 IPS インライン オペレーションモードはインラインに IPS の使用によって有効に なります{故障する終わり | 「クラス」コンフィギュレーションモードの故障する開いた}コマンド。 Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス ソフトウェア バージョン 7.0.x を実行している、7.1.x、7.2.x、8.0.x、8.1.x および 8.2.x は影響を受けています。

巧妙に細工された IKE メッセージ サービス拒否の脆弱性

Cisco ASA 5500 シリーズの終端により適応型セキュリティ アプライアンス（ASA）ソフトウェア 中断 されるべき同じデバイスで終えるすべての IPSecトンネルを引き起こす可能性があること IPSecトンネルを通して送信 される 巧妙に細工された IKE メッセージ。 バージョン 7.0.x、7.1.x、7.2.x、8.0.x、8.1.x および 8.2.x は影響を受けています。 IKE はデフォルトで有効に なりません。 IKE が有効に なる場合、isakmp enable <interface 名前 > コマンドは設定に現われます。

NTLMv1 認証 バイパス の 脆弱性

認証 バイパス の 脆弱性は NTLMv1 認証が設定されるとき Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスに影響を与えます。 バージョン 7.0.x、7.1.x、7.2.x、8.0.x、8.1.x および 8.2.x は影響を受けています。 管理者は aaa-server <AAA サーバグループ タグ > プロトコル nt コマンドおよび認証がその AAA サーバ グループを使用するように要求するサービスを設定することと NTLMv1 プロトコルを使用する認証、許可、アカウンティング（AAA） サーバグループの定義によって NTLMv1 認証を設定できます。 NTLMv1 認証が有効に され、アクティブであることを確認するために、提示 aaa-server プロトコル nt コマンドを発行して下さい。 出力例は次の例で表示する:

ciscoasa#show aaa-server protocol nt
Server Group:    test
Server Protocol: nt
Server Address:  192.168.10.11
Server port:     139
Server status:   ACTIVE, Last transaction (success) at 11:10:08 UTC  Fri Jan 29
<output truncated>

Cisco PIX 500 シリーズ セキュリティ アプライアンス モデル脆弱性ステータス

Cisco PIX 500 シリーズ セキュリティ アプライアンスは次の脆弱性から影響を受けます:

• TCP 接続枯渇サービス拒否の脆弱性
  
• SIP インスペクション サービス拒否の脆弱性
  
• SCCP インスペクション サービス拒否の脆弱性
  
• 巧妙に細工された IKE メッセージ サービス拒否の脆弱性
  
• NTLMv1 認証 バイパス の 脆弱性
  

Cisco PIX 500 シリーズ セキュリティ アプライアンスがソフトウェアメンテナンスリリースの端に 2009 年 7月 28 日達したので、それ以上のソフトウェア リリースは Cisco PIX 500 シリーズ セキュリティ アプライアンスに利用できません。 Cisco PIX 500 シリーズ セキュリティ アプライアンス 顧客は Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスに移行するか、またはこのアドバイザリの回避策 セクションにリストされている適当な回避策を設定するように勧められます。 修正済みソフトウェアは Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスに利用できます。 詳細については、http://www.cisco.com/en/US/prod/collateral/vpndevc/ps5708/ps5709/ps2030/end_of_life_notice_cisco_pix_525_sec_app.html でライフ発表の終わりを参照して下さい。

実行ソフトウェア バージョンの判別方法

Cisco ASA ソフトウェアの脆弱なバージョンがアプライアンスで動作しているかどうか判別するために、管理者は show version Command Line Interface （CLI） コマンドを発行できます。 ソフトウェア バージョン 8.0(4) を実行している次の例は Cisco ASA 5500 シリーズを適応型セキュリティ アプライアンス（ASA）ソフトウェア示したものです:

ASA#show version
Cisco Adaptive Security Appliance Software Version 8.0(4)
Device Manager Version 6.0(1)
<output truncated>

Cisco ASDM をデバイスを管理するのに使用する顧客は Cisco ASDM ウィンドウの Login ウィンドウか左上のコーナーで表示する 表でソフトウェア バージョンを見つけることができます。

Cisco Firewall サービス モジュール（FWSM）はいくつかのこのアドバイザリの脆弱性から影響を受けます。 別途の Cisco Security Advisory は FWSM に影響を与える脆弱性を表わすために公開されました。 このアドバイザリは 217-fwsm で利用できます。

Cisco FWSM を除いて、その他のCisco製品は現在これらの脆弱性から影響を受けるために知られていません。