Guest

Cisco ASA Software IKEv1 and IKEv2 Buffer Overflow Vulnerability

Updated: 2016 年 2 月 19 日

Cisco Security Advisory

Critical
Advisory ID:
cisco-sa-20160210-asa-ike
Last Updated:
2016 February 16 23:06 GMT
Published:
2016 February 10 16:00 GMT
Version 1.2:
Final
CVSS Score:
Workarounds:
No workarounds available
Cisco Bug IDs:
CSCux29978
CSCux42019
CVSS Score:
Workarounds:
No workarounds available
Cisco Bug IDs:
CSCux29978
CSCux42019
CVE-2016-1287
CWE-119

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

  • Cisco ASA ソフトウェアのインターネット キー エクスチェンジ(IKE)バージョン 1(v1)と IKE バージョン 2(v2)コードの脆弱性により、認証されていないリモートの攻撃者が該当システムのリロード、またはリモートからのコード実行を行う可能性があります。

    この脆弱性は、該当コード エリアのバッファ オーバーフローが原因です。 攻撃者は、巧妙に細工された UDP パケットを該当システムに送信することによって、本脆弱性を不正利用する可能性があります。 この不正利用により、攻撃者は任意のコードを実行してシステムの完全な制御権を取得したり、該当システムのリロードを引き起こしたりする可能性があります。

    注:本脆弱性を不正利用する目的で使用できるのは、該当システム宛てのトラフィックに限られます。 本脆弱性は、シングルまたはマルチ コンテキスト モードにおいてルーティング ファイアウォール モードに設定されたシステムにのみ影響します。 また、本脆弱性は、IPv4 トラフィックや IPv6 トラフィックからトリガーされる可能性もあります。

    シスコはこの脆弱性に対処するソフトウェア アップデートをリリースしました。 このアドバイザリは、次のリンクより確認できます。
    http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160210-asa-ike

  • 次の製品上で動作している Cisco ASA ソフトウェアは、本脆弱性の影響を受けます。
    • Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス
    • Cisco ASA 5500-X シリーズ Next-Generation Firewalls
    • Cisco Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータ用の Cisco ASA サービス モジュール
    • Cisco ASA 1000V クラウド ファイアウォール
    • Cisco 適応型セキュリティ仮想アプライアンス(ASAv)
    • Cisco FirePOWER 9300 ASA セキュリティ モジュール
    • Cisco ISA 3000 Industrial Security Appliance

    影響を受けるリリースの詳細については、本セキュリティ アドバイザリの「修正済みソフトウェア」セクションを参照してください。

    脆弱性が存在する製品

    Cisco ASA ソフトウェアは、システムが IKEv1 または IKEv2 VPN 接続を終了するように設定されている場合に、この脆弱性の影響を受けます。

    システムがIKEv1 または IKEv2 VPN 接続を終端するように設定されている場合、Cisco ASA Software は本脆弱性の影響を受けます。これには次の接続が含まれます。
    • LAN 間 IPsec VPN
    • IPsec VPN クライアントを使用したリモート アクセス VPN
    • Layer 2 Tunneling Protocol(L2TP)-over-IPsec VPN 接続
    • IKEv2 AnyConnect
    システムが以下の VPN 接続のみを終端するように設定されている場合に限り、Cisco ASA ソフトウェアは本脆弱性の影響を受けません。
    • クライアントレス SSL
    • AnyConnect SSL
    Cisco ASA が IKEv1 または IKEv2 VPN 接続を終端するように設定されているかどうかを確認するには、少なくとも 1 つのインターフェイスに crypto map が設定されている必要があります。 管理者は、 show running-config crypto map | include interface コマンドを使用して、出力が返されることを確認する必要があります。 次の例では、 outside インターフェイス上に outside_map という名前の crypto map が設定されていることを示しています。 
    ciscoasa# show running-config crypto map | include interface
crypto map outside_map interface outside

    脆弱性が存在しない製品

    他のシスコ製品において、このアドバイザリの影響を受けるものは現在確認されていません。

  • Cisco IPS シグネチャ 7169-0 および 7169-1 また Snort ID:36903 および 37674 はこの脆弱性を不正利用する試みを検出します。

  • この脆弱性に対処する回避策はありません。

  • シスコはこのアドバイザリに記載された脆弱性に対処する無償のソフトウェア アップデートを提供しています。 お客様がインストールしたりサポートを受けたりできるのは、ライセンスをご購入いただいたソフトウェア バージョンとフィーチャ セットに対してのみとなります。 そのようなソフトウェア アップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は以下のリンクに記載されたシスコのソフトウェア ライセンスの条項に従うことに同意したことになります。
    http://www.cisco.com/en/US/docs/general/warranty/English/EU1KEN_.html

    また、お客様がソフトウェアをダウンロードできるのは、シスコから直接、あるいはシスコ認定リセラーまたはパートナーからそのソフトウェアの有効なライセンスを取得している場合に限ります。 通常、これは以前購入したソフトウェアのメンテナンス アップグレードです。 無償のセキュリティ ソフトウェア アップデートによって、お客様に新しいソフトウェア ライセンス、追加ソフトウェア フィーチャ セット、またはメジャー リビジョン アップグレードに対する権限が付与されることはありません。

    ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/go/psirt の Cisco Security Advisories and Responses アーカイブや後続のアドバイザリを参照して、侵害を受ける可能性と完全なアップグレード ソリューションを確認してください。

    いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成は新規リリースでも継続して適切なサポートが受けられることを確認してください。 不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンス プロバイダーにお問い合わせください。

    サービス契約をご利用でないお客様

    シスコから直接購入したがシスコのサービス契約をご利用いただいていない場合、また、サードパーティ ベンダーから購入したが修正済みソフトウェアを購入先から入手できない場合は、Cisco Technical Assistance Center(TAC)に連絡してアップグレードを入手してください。
    http://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html

    無償アップグレードの対象製品であることを証明していただくために、製品のシリアル番号と、本アドバイザリの URL をご用意ください。

    修正済みリリース

    次の表では、左の列に、Cisco ASA ソフトウェアのメジャー リリースを示します。 右の列は、メジャー リリースが本アドバイザリに記載している脆弱性に該当するかどうか、および、本脆弱性に対する修正を含む最初のリリースを示します。

    Cisco ASA Major Release First Fixed Release
    7.21
    		Affected; migrate to 9.1(6.11) or later 
    8.01
    		 Affected; migrate to 9.1(6.11) or later 
    8.11
    		Affected; migrate to 9.1(6.11) or later
    8.21
    		 8.2(5.59)2
    8.31
    		Affected; migrate to 9.1(6.11) or later
    8.4  8.4(7.30) or later
    8.51
    		Not affected
    8.61
    		Affected; migrate to 9.1(6.11) or later 
    8.7  8.7(1.18) or later
    9.0
    		9.0(4.38) or later
    9.1  9.1(6.11) or later
    9.2  9.2(4.5) or later
    9.3  9.3(3.7) or later
    9.4  9.4(2.4) or later
    9.5
    		9.5(2.2) or later

    1Cisco ASA ソフトウェア リリース 7.2、8.2、8.3、8.5、8.6 はソフトウェア メンテナンスが終了しています。 お客様は、サポートされているリリースに移行する必要があります。

    ソフトウェアのダウンロード

    Cisco ASA ソフトウェアは、Cisco.com の Software Center(http://www.cisco.com/cisco/software/navigator.html)からダウンロードできます。

    Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスおよび Cisco ASA 5500-X シリーズ次世代ファイアウォールの場合は、次のパスに移動します。 暫定バージョンを調べるには、ダウンロード ページの左側の [All Releases] > [Interim] をクリックします。
    [Products] > [Security] > [Firewalls] > [Adaptive Security Appliances (ASA)] > [ASA 5500-X Series Firewalls] > <ご利用の Cisco ASA モデル> > [Software on Chassis] > [Adaptive Security Appliance (ASA) Software]
    Cisco Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータの Cisco ASA サービス モジュールの場合は、次のパスに移動します。 暫定バージョンを調べるには、ダウンロード ページの左側の [All Releases] > [Interim] をクリックします。
    [Products] > [Cisco Interfaces and Modules] > [Services Modules] > [Catalyst 6500 Series / 7600 Series ASA Services Module] > [Adaptive Security Appliance (ASA) Software]
    Cisco ASA 1000V クラウド ファイアウォールの場合は、次のパスに移動します。
    [Products] > [Security] > [Firewalls] > [Adaptive Security Appliances (ASA)] > [ASA 1000V Cloud Firewall]
    Cisco Web セキュリティ仮想アプライアンス(ASAv)の場合は、次のパスに移動します。
    [Products] > [Security] > [Firewalls] > [Adaptive Security Appliances (ASA)] > [Adaptive Security Virtual Appliance (ASAv)] > [Adaptive Security Appliance (ASA) Software]
    Cisco FirePOWER 9300 ASA モジュールの場合は、次のパスに移動します。
    [Products] > [Security] > [Firewalls] > [Next-Generation Firewalls (NGFW)] > [Firepower 9000 Series] > [Firepower 9300 Security Appliance] > [Adaptive Security Appliance (ASA) Software]
    Cisco ISA 3000 Industrial Security Appliance の場合は、次のパスに移動します。
    [Products] > [Security] > [Firewalls] > [3000 Series Industrial Security Appliances (ISA)] > <ご利用の Cisco ISA 3000 モデル> > [Adaptive Security Appliance (ASA) Software]

  • Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性の不正利用事例は確認しておりません。

    Exodus Intelligence 社により、次の URL にパブリック ブログ投稿が提供されました。
    https://blog.exodusintel.com/2016/02/10/firewall-hacking/

  • この脆弱性は、Exodus Intelligence 社の David Barksdale 氏、Jordan Gruskovnjak 氏、および Alex Wheeler 氏によってシスコに報告されました。



  • Version Description Section Status Date
    1.2 Updated information in Vulnerable Products and Fixed Software section. Added additional signatures to Indicators of Compromise. Vulnerable Products, Indicators of Compromise, Fixed Software Final 2016-February-16
    1.1 Updated Indicator of Compromise and Exploitation and Public Announcements with additional information Indicator of Compromise and Exploitation and Public Announcements Final 2016-February-11
    1.0 Initial public release Final 2016-February-10


  • 本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。

    本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。

シスコ エンジニア提供

このドキュメントは役に立ちましたか?

フィードバック

お問い合わせ