High
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco Secure Firewall 適応型セキュリティアプライアンス(ASA)ソフトウェアおよび Cisco Secure Firewall Threat Defense(FTD)ソフトウェアのリモートアクセス SSL VPN 機能に複数の脆弱性が確認されました。リモートの攻撃者が該当デバイスで応答の停止や予期しないリロードを引き起こし、サービス妨害(DoS)状態を引き起こす可能性があります。
これらの脆弱性の詳細については本アドバイザリの「詳細情報」セクションを参照してください。
シスコはこれらの脆弱性に対処するソフトウェアアップデートをリリースしています。これらの脆弱性に対処する回避策はありません。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-vpn-m9sx6MbC
本アドバイザリは、2026 年 3 月に公開された Cisco Secure Firewall ASA、Secure FMC、および Secure FTD ソフトウェアのセキュリティ アドバイザリ バンドルに含まれています。これらのアドバイザリとリンクの一覧については、「Cisco Event Response: March 2026 Semiannual Cisco Secure Firewall ASA, Secure FMC, and Secure FTD Software Security Advisory Bundled Publication」を参照してください。
該当製品
脆弱性のある製品
これらの脆弱性は、Cisco Secure Firewall ASA ソフトウェアまたは Secure FTD ソフトウェアの脆弱性のあるリリースを実行しているシスコのデバイスに影響します。また、インターネット キー エクスチェンジ バージョン 2(IKEv2)リモートアクセス VPN(クライアントサービスを使用)またはリモートアクセス SSL VPN 機能が有効になっている場合にも影響します。CVE-2026-20106 は、管理 HTTP サーバーおよびモバイル ユーザー セキュリティ(MUS)機能が有効になっている場合、これらにも影響を与えます。各製品の脆弱性の条件については、次の表を参照してください。
脆弱性が存在する Cisco ソフトウェアリリースについては、このアドバイザリの「修正済みソフトウェア」セクションを参照してください。
Cisco Secure Firewall ASA ソフトウェアにおける脆弱性のある設定
次の表では、左列に潜在的脆弱性のある Cisco Secure Firewall ASA ソフトウェアの機能を記載しています。右列に示す Cisco ASA 機能の基本設定は、show running-config CLI コマンドを実行すると表示されます。これらの機能により、SSL リスニングソケットが有効になる可能性があります。
| Cisco Secure Firewall ASA ソフトウェアの機能 | 脆弱性の可能性がある設定 |
|---|---|
| IKEv2 リモートアクセス VPN(クライアントサービスを使用) |
crypto ikev2 enable <interface name> client-services port <port_numbers> |
| 管理 Web サーバーアクセス(Cisco Adaptive Security Device Manager(ASDM)および Cisco Security Manager アクセスを含む)1 |
http server enable |
| モバイル ユーザ セキュリティ(MUS) |
webvpn |
| SSL VPN |
webvpn |
Cisco Secure FTD ソフトウェアの脆弱な設定
次の表では、左列に潜在的脆弱性のある Cisco Secure Firewall FTD ソフトウェアの機能を記載しています。右列に示す Cisco ASA 機能の基本設定は、show running-config CLI コマンドを実行すると表示されます。これらの機能により、SSL リスニングソケットが有効になる可能性があります。
| Cisco Secure FTD ソフトウェアの機能 | 脆弱性の可能性がある設定 |
|---|---|
| IKEv2 リモートアクセス VPN(クライアントサービスを使用)1 |
crypto ikev2 enable <interface_name> client-services port <port_numbers> |
| SSL VPN1 |
webvpn |
| HTTP サーバーが有効2、3 |
http server enable |
脆弱性を含んでいないことが確認された製品
このアドバイザリの「脆弱性のある製品」セクションに記載されている製品のみが、これらの脆弱性の影響を受けることが分かっています。
シスコは、これらの脆弱性が Cisco Secure FMC ソフトウェアには影響を与えないことを確認しました。
詳細
これらの脆弱性は依存関係にはなく、いずれかの脆弱性をエクスプロイトするために別の脆弱性をエクスプロイトする必要はありません。さらに、いずれかの脆弱性の影響を受けるソフトウェアリリースであっても、他の脆弱性の影響は受けない場合があります。
脆弱性の詳細は以下のとおりです。
CVE-2026-20101:Cisco Secure Firewall ASA ソフトウェアおよび Secure FTD ソフトウェアのリモートアクセス SSL VPN 認証における DoS 脆弱性
Cisco Secure Firewall ASA ソフトウェアおよび Cisco Secure FTD ソフトウェアのリモートアクセス SSL VPN 機能の脆弱性により、認証されていないリモートの攻撃者がデバイスの予期しないリロードを引き起こし、その結果 DoS 状態に陥る危険性があります。
この脆弱性は、VPN 認証メッセージを処理する際のエラーチェックが不十分であることに起因します。攻撃者は、巧妙に細工されたメッセージを VPN 認証サービスに送信することで、この脆弱性をエクスプロイトする可能性があります。不正利用に成功すると、攻撃者は該当デバイスのリロードを引き起こし、その結果 DoS 状態が発生する可能性があります。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。この脆弱性に対処する回避策はありません。
バグ ID:CSCwo49932
CVE ID:CVE-2026-20101
セキュリティ影響評価(SIR):高
CVSS ベーススコア:8.6
CVSS ベクトル:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
CVE-2026-20103:Cisco Secure Firewall ASA ソフトウェアおよび Secure FTD ソフトウェアのリモートアクセス SSL VPN におけるメモリ枯渇の DoS 脆弱性
Cisco Secure Firewall ASA ソフトウェアおよび Cisco Secure FTD ソフトウェアのリモートアクセス SSL VPN 機能の脆弱性により、認証されていないリモートの攻撃者がデバイスのメモリを枯渇させ、その結果、新しいリモートアクセス SSL VPN 接続への DoS 攻撃が発生する可能性があります。この脆弱性により、管理インターフェイスが一時的に応答しなくなる可能性があります。
この脆弱性は、ユーザー入力の検証が不十分なことに起因します。攻撃者は、巧妙に細工されたパケットをリモートアクセス SSL VPN サーバーに送信することで、この脆弱性をエクスプロイトする可能性があります。エクスプロイトが成功すると、該当デバイスの Web インターフェイスが応答しなくなり、その結果 DoS 状態に陥る危険性があります。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。この脆弱性に対処する回避策はありません。
バグ ID:CSCwo49934
CVE ID:CVE-2026-20103
セキュリティ影響評価(SIR):高
CVSS ベーススコア:8.6
CVSS ベクトル:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H
CVE-2026-20100:Cisco Secure Firewall ASA ソフトウェアおよび Secure FTD ソフトウェアのリモートアクセス SSL VPN における Lua インタープリタの DoS 脆弱性
Cisco Secure Firewall ASA ソフトウェアおよび Cisco Secure FTD ソフトウェアのリモートアクセス SSL VPN 機能の Lua インタープリタに存在する脆弱性により、有効な VPN ログイン情報を持つ認証されたリモートの攻撃者がデバイスの予期しないリロードを引き起こし、その結果 DoS 状態に陥る危険性があります。
この脆弱性は、Lua インタープリタへのユーザー入力に対する検証が不十分だったことに起因します。攻撃者は、巧妙に細工された HTTP パケットをリモートアクセス SSL VPN サーバーに送信することで、この脆弱性をエクスプロイトする可能性があります。不正利用に成功すると、攻撃者は該当デバイスのリロードを引き起こし、その結果 DoS 状態が発生する可能性があります。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。この脆弱性に対処する回避策はありません。
バグ ID:CSCwo73889
CVE ID:CVE-2026-20100
セキュリティ影響評価(SIR):高
CVSS ベーススコア:7.7
CVSS ベクトル:CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
CVE-2026-20105:Cisco Secure Firewall ASA ソフトウェアおよび Secure FTD ソフトウェアのリモートアクセス SSL VPN における認証された攻撃者によるメモリ枯渇の DoS 脆弱性
Cisco Secure Firewall ASA ソフトウェアおよび Cisco Secure FTD ソフトウェアのリモートアクセス SSL VPN 機能の脆弱性により、有効な VPN ログイン情報を持つ認証されたリモートの攻撃者がデバイスのメモリを枯渇させ、その結果、サービス妨害(DoS)状態に陥る危険性があります。
この脆弱性は、ユーザー入力の検証が不十分なことに起因します。攻撃者は、巧妙に細工されたパケットをリモートアクセス SSL VPN サーバーに送信することで、この脆弱性をエクスプロイトする可能性があります。不正利用に成功すると、攻撃者は該当デバイスのリロードを引き起こし、その結果 DoS 状態が発生する可能性があります。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。この脆弱性に対処する回避策はありません。
バグ ID:CSCwo73891
CVE ID:CVE-2026-20105
セキュリティ影響評価(SIR):高
CVSS ベーススコア:7.7
CVSS ベクトル:CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
CVE-2026-20106:Cisco Secure Firewall ASA ソフトウェアおよび Secure FTD ソフトウェアのリモートアクセス SSL VPN における認証されていない攻撃者によるメモリ枯渇の DoS 脆弱性
Cisco Secure Firewall ASA ソフトウェアおよび Cisco Secure FTD ソフトウェアのリモートアクセス SSL VPN、HTTP 管理、および MUS 機能の脆弱性により、認証されていないリモートの攻撃者がデバイスのメモリを枯渇させ、その結果、手動での再起動が必要な DoS 状態に陥る可能性があります。
この脆弱性は、ユーザー入力の検証が不十分なことに起因します。攻撃者は、巧妙に細工されたパケットをリモートアクセス SSL VPN サーバーに送信することで、この脆弱性をエクスプロイトする可能性があります。エクスプロイトに成功すると、該当デバイスの応答を停止させることが可能になり、その結果 DoS 状態が発生する可能性があります。
シスコはこの脆弱性に対処するソフトウェアアップデートをリリースしています。この脆弱性に対処する回避策はありません。
バグ ID:CSCwo73886
CVE ID:CVE-2026-20106
セキュリティ影響評価(SIR):中
CVSS ベーススコア:5.3
CVSS ベクトル:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
回避策
これらの脆弱性に対処する回避策はありません。
修正済みソフトウェア
シスコでは、回避策や緩和策(該当する場合)は、修正済みソフトウェアリリースへのアップグレードが利用可能になるまでの一時的な解決策であると考えています。これらの脆弱性を完全に修正し、本アドバイザリに記載されているような将来のリスクを回避するために、シスコでは、本アドバイザリに記載されている修正済みソフトウェアにアップグレードすることを強く推奨します。
Cisco Secure Firewall ASA、Cisco Secure FMC、Cisco Secure FTD の各ソフトウェア
お客様が Cisco Secure Firewall ASA、Cisco Secure FMC、Cisco Secure FTD の各ソフトウェアにおける脆弱性のリスクの有無を判断できるように、シスコは Cisco Software Checker を提供しています。このツールを使うことで、特定のソフトウェアリリースに関連するすべてのシスコ セキュリティ アドバイザリを検索でき、それぞれのアドバイザリで言及された脆弱性を修正した最初のリリース(「First Fixed」)を特定できます。 また、該当する場合には、Software Checker により判別されたすべてのアドバイザリに記載のすべての脆弱性が修正された最初のリリース(「Combined First Fixed」)を特定できます。
このツールを使用するには、「Cisco Software Checker」ページの手順に従います。または、次のフォームを使用して、特定のソフトウェアリリースに影響を及ぼす脆弱性を検索します。このフォームを使用するには、次の手順に従います。
- ツールで検索するアドバイザリを選択します。すべてのアドバイザリ、セキュリティへの影響の評価(SIR)が「重大」または「高」のアドバイザリのみ、またはこのアドバイザリのみを選択します。
- 該当するソフトウェアを選択します。
- 該当するプラットフォームを選択します。
- リリース番号を入力します。たとえば、Cisco Secure Firewall ASA ソフトウェアの場合は 9.20.3.4、Cisco Secure FTD ソフトウェアの場合は 7.4.2 と入力します。
- [チェック(Check)] をクリックします。
Cisco Secure FTD デバイスのアップグレード手順については、該当の Cisco Secure FMC アップグレードガイドを参照してください。
関連情報
最適な Cisco Secure Firewall ASA、Cisco Secure FMC、Cisco Secure FTD の各ソフトウェアリリースの決定方法については、次の推奨リリースに関するドキュメントを参照してください。セキュリティ アドバイザリでより新しいリリースが推奨されている場合は、そのアドバイザリのガイダンスに従うことをお勧めします。
Cisco Secure Firewall ASA の互換性
Cisco Secure Firewall ASA アップグレードガイド
Cisco Secure Firewall Threat Defense 互換性ガイド
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)では、本アドバイザリに記載されている脆弱性のエクスプロイト事例とその公表は確認しておりません。
出典
CVE-2026-20100: この脆弱性は、Cisco Advanced Security Initiatives Group(ASIG)の Keane O'Kelley による内部セキュリティテスト中に発見されました。
CVE-2026-20101:この脆弱性は、Cisco ASIG の Kyle Ossinger による内部セキュリティテスト中に発見されました。
CVE-2026-20103:この脆弱性は、Cisco ASIG の Alex Lumsden および Jason Crowder による内部セキュリティテスト中に発見されました。
CVE-2026-20105 および CVE-2026-20106:これらの脆弱性は、Cisco ASIG の Jason Crowder による内部セキュリティテスト中に発見されました。
URL
改訂履歴
| バージョン | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.0 | 初回公開リリース | — | Final | 2026 年 3 月 4 日 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。