High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco 適応型セキュリティアプライアンス(ASA)ソフトウェアおよび Cisco Secure Firewall Threat Defense(FTD)ソフトウェアのインターネット キー エクスチェンジ バージョン 2(IKEv2)機能に複数の脆弱性が確認されました。IKEv2 パケットを解析する際にリモートの攻撃者がメモリリークを引き起こし、サービス妨害(DoS)状態が発生する恐れがあります。
これらの脆弱性の詳細については本アドバイザリの「詳細情報」セクションを参照してください。
シスコはこれらの脆弱性に対処するソフトウェアアップデートをリリースしています。これらの脆弱性に対処する回避策はありません。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ikev2-dos-eBueGdEG
本アドバイザリは、2026 年 3 月に公開された Cisco Secure Firewall ASA、Secure FMC、および Secure FTD ソフトウェアのセキュリティ アドバイザリ バンドルに含まれています。これらのアドバイザリとリンクの一覧については、「Cisco Event Response: March 2026 Semiannual Cisco Secure Firewall ASA, Secure FMC, and Secure FTD Software Security Advisory Bundled Publication」を参照してください。
該当製品
脆弱性のある製品
IKEv2 VPN 機能が有効になっている場合、これらの脆弱性は Cisco Secure Firewall ASA ソフトウェアおよび Secure FTD ソフトウェアに影響します。
脆弱性が存在する Cisco ソフトウェアリリースについては、このアドバイザリの「修正済みソフトウェア」セクションを参照してください。
ソフトウェア設定の判断
Cisco Secure Firewall ASA および Cisco Secure FTD ソフトウェアで IKEv2 が有効になっているかどうかを判断するには、show running-config crypto ikev2 | enable CLI コマンドを使用してください。このコマンドが出力を返す場合は、IKEv2 が 1 つ以上のインターフェイスで有効になっています。
次の例は、outside インターフェイスで IKEv2 が有効化されているデバイスの出力を示しています。
firewall# show running-config crypto ikev2 | include enable
crypto ikev2 enable outside client-services port 443
この例のデバイスは、これらの脆弱性の影響を受けます。コマンドの出力が空の場合、デバイスはこれらの脆弱性の影響を受けません。
脆弱性を含んでいないことが確認された製品
このアドバイザリの「脆弱性のある製品」セクションに記載されている製品のみが、これらの脆弱性の影響を受けることが分かっています。
シスコは、これらの脆弱性が Cisco Secure Firewall Management Center(FMC)ソフトウェアに影響を与えないことを確認しています。
詳細
これらの脆弱性は依存関係にはなく、いずれかの脆弱性をエクスプロイトするために別の脆弱性をエクスプロイトする必要はありません。さらに、いずれかの脆弱性の影響を受けるソフトウェアリリースであっても、他の脆弱性の影響は受けない場合があります。
脆弱性の詳細は以下のとおりです。
CVE-2026-20014:Cisco Secure Firewall ASA ソフトウェアおよび Secure FTD ソフトウェアの IKEv2 における DoS の脆弱性
Cisco Secure Firewall ASA ソフトウェアおよび Cisco Secure FTD ソフトウェアの IKEv2 機能の脆弱性により、有効な VPN ユーザーログイン情報を持つ認証されたリモートの攻撃者が、該当デバイスで DoS 状態を発生させる可能性があります。これは、ネットワーク内の他のデバイスへのサービスの可用性にも影響を与える可能性があります。
この脆弱性は、IKEv2 パケットの不適切な処理に起因します。攻撃者は巧妙に細工された認証された IKEv2 パケットを該当デバイスに送信することにより、この脆弱性をエクスプロイトする可能性があります。エクスプロイトが成功すると、メモリが枯渇し、デバイスがリロードされる可能性があります。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。この脆弱性に対処する回避策はありません。
バグ ID:CSCwq01516、CSCwq50506
CVE ID:CVE-2026-20014
セキュリティ影響評価(SIR):高
CVSS ベーススコア:7.7
CVSS ベクトル:CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
CVE-2026-20013:Cisco Secure Firewall ASA ソフトウェアおよび Secure FTD ソフトウェアの IKEv2 における DoS の脆弱性
Cisco Secure Firewall ASA ソフトウェアおよび Cisco Secure FTD ソフトウェアの IKEv2 機能の脆弱性により、認証されていないリモートの攻撃者が、該当デバイスで DoS 状態を発生させる可能性があります。これは、ネットワーク内の他のデバイスへのサービスの可用性にも影響を与える可能性があります。
この脆弱性は、IKEv2 パケットの処理中にメモリが解放されなかったことにより、メモリの枯渇が発生したことに起因します。巧妙に細工された IKEv2 パケットを該当デバイスに送信することで、攻撃者がこの脆弱性をエクスプロイトする可能性があります。エクスプロイトが成功すると、リソースが枯渇し、DoS 状態が発生して、最終的にデバイスを手動でリロードしなければならなくなる可能性があります。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。この脆弱性に対処する回避策はありません。
バグ ID:CSCwo49925
CVE ID:CVE-2026-20013
セキュリティ影響評価(SIR):中
CVSS ベーススコア:5.8
CVSS ベクトル:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:L
CVE-2026-20015:Cisco Secure Firewall ASA ソフトウェアおよび Secure FTD ソフトウェアの IKEv2 における DoS の脆弱性
Cisco Secure Firewall ASA ソフトウェアおよび Cisco Secure FTD ソフトウェアの IKEv2 機能の脆弱性により、認証されていないリモートの攻撃者が、該当デバイスで DoS 状態を発生させる可能性があります。これは、ネットワーク内の他のデバイスへのサービスの可用性に影響を与える可能性があります。
この脆弱性は、IKEv2 パケットを解析する際のメモリリークに起因します。巧妙に細工された IKEv2 パケットを該当デバイスに送信することで、攻撃者がこの脆弱性をエクスプロイトする可能性があります。エクスプロイトが成功すると、リソースが枯渇し、DoS 状態が発生して、最終的にデバイスを手動でリロードしなければならなくなる可能性があります。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。この脆弱性に対処する回避策はありません。
バグ ID:CSCwo49926
CVE ID:CVE-2026-20015
セキュリティ影響評価(SIR):中
CVSS ベーススコア:5.8
CVSS ベクトル:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:L
回避策
これらの脆弱性に対処する回避策はありません。
修正済みソフトウェア
シスコでは、回避策や緩和策(該当する場合)は、修正済みソフトウェアリリースへのアップグレードが利用可能になるまでの一時的な解決策であると考えています。これらの脆弱性を完全に修正し、本アドバイザリに記載されているような将来のリスクを回避するために、シスコでは、本アドバイザリに記載されている修正済みソフトウェアにアップグレードすることを強く推奨します。
Cisco Secure Firewall ASA、Cisco Secure FMC、Cisco Secure FTD の各ソフトウェア
お客様が Cisco Secure Firewall ASA、Cisco Secure FMC、Cisco Secure FTD の各ソフトウェアにおける脆弱性のリスクの有無を判断できるように、シスコは Cisco Software Checker を提供しています。このツールを使うことで、特定のソフトウェアリリースに関連するすべてのシスコ セキュリティ アドバイザリを検索でき、それぞれのアドバイザリで言及された脆弱性を修正した最初のリリース(「First Fixed」)を特定できます。 また、該当する場合には、Software Checker により判別されたすべてのアドバイザリに記載のすべての脆弱性が修正された最初のリリース(「Combined First Fixed」)を特定できます。
このツールを使用するには、「Cisco Software Checker」ページの手順に従います。または、次のフォームを使用して、特定のソフトウェアリリースに影響を及ぼす脆弱性を検索します。このフォームを使用するには、次の手順に従います。
- ツールで検索するアドバイザリを選択します。すべてのアドバイザリ、セキュリティへの影響の評価(SIR)が「重大」または「高」のアドバイザリのみ、またはこのアドバイザリのみを選択します。
- 該当するソフトウェアを選択します。
- 該当するプラットフォームを選択します。
- リリース番号を入力します。たとえば、Cisco Secure Firewall ASA ソフトウェアの場合は 9.20.3.4、Cisco Secure FTD ソフトウェアの場合は 7.4.2 と入力します。
- [チェック(Check)] をクリックします。
Cisco Secure FTD デバイスのアップグレード手順については、該当の Cisco Secure FMC アップグレードガイドを参照してください。
関連情報
最適な Cisco Secure Firewall ASA、Cisco Secure FMC、Cisco Secure FTD の各ソフトウェアリリースの決定方法については、次の推奨リリースに関するドキュメントを参照してください。セキュリティ アドバイザリでより新しいリリースが推奨されている場合は、そのアドバイザリのガイダンスに従うことをお勧めします。
Cisco Secure Firewall ASA の互換性
Cisco Secure Firewall ASA アップグレードガイド
Cisco Secure Firewall Threat Defense 互換性ガイド
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性のエクスプロイト事例とその公表は確認しておりません。
出典
これらの脆弱性は、Cisco Advanced Security Initiatives Group(ASIG)の Jason Crowder による内部セキュリティテストで発見されました。
URL
改訂履歴
| バージョン | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.0 | 初回公開リリース | — | Final | 2026 年 3 月 4 日 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。