2018-02-01 セキュリティニュース: Cisco ASA のソフトウェアにリモート コード 実行およびサービス拒否の脆弱性
Cisco ASA のソフトウェアにリモート コード 実行およびサービス拒否の脆弱性
一次ソース: Cisco Security Advisory
日本語版
https://www.cisco.com/c/ja_jp/support/docs/csa/2018/cisco-sa-20180129-asa1.pdf?dtid=osscdc000334
概要: Cisco 適応型セキュリティアプライアンス (ASA) ソフトウェアにリモートコード実行およびサービス拒否の脆弱性
- Cisco Adaptive Security アプライアンス (ASA) ソフトウェアの SSL (Secure Sockets Layer) の VPN 機能に脆弱性がある
- 当該脆弱性を悪用すると、リモートの攻撃者が不正に対象システムのリロードを行ったり、任意のコードを実行できるようになる
- 影響を受けるバージョンの Cisco の ASA デバイス上で webvpn 機能が有効になっていると、ある領域のメモリが二重解放されうる脆弱性がある 参考
- リモートの攻撃者は細工した XML パケットを複数 webvpn が有効になったインタフェースに送信することにより当該脆弱性を悪用することができる
- エクスプロイトにより攻撃者は任意のコードを実行し、システムを完全な制御下におき、脆弱性のあるデバイスをリロードさせることができる
- Cisco はすでに本脆弱性について修正版ソフトウェア(後述)をリリースしている
- 更新以外の回避策はなし
- 公式アドバイザリ
- 簡易日本語版
CVE
- 対応する CVE: CVE-2018-0101
- Cisco Bug ID: CSCvg35618
- CVSS スコア: 10.0
修正ソフトウェア
ASA
Cisco ASA メジャーリリース | 修正された最初のリリース |
---|---|
8.x1 | 影響あり、9.1.7.20 かそれ以降へ移行のこと |
9.01 | 影響あり、9.1.7.20 かそれ以降へ移行のこと |
9.1 | 9.1.7.20 |
9.2 | 9.2.4.25 |
9.31 | 影響あり、9.4.4.14 かそれ以降へ移行のこと |
9.4 | 9.4.4.14 |
9.51 | 影響あり、9.6.3.20 かそれ以降へ移行のこと |
9.6 | 9.6.3.20 |
9.7 | 9.7.1.16 |
9.8 | 9.8.2.14 |
9.9 | 9.9.1.2 |
FTD ソフトウェア
Cisco FTD メジャーリリース | 修正された最初のバージョン |
---|---|
6.2.2 未満 | 影響しない |
6.2.2[1] | Cisco_FTD_Hotfix_AB-6.2.2.2-4.sh.REL.tar (All FTD hardware platforms except 21xx)、Cisco_FTD_SSP_FP2K_Hotfix_AC-6.2.2.2-6.sh.REL.tar (21xx FTD hardware platform) |
[1] 6.2.2 未満のバージョンの FTD にはリモートアクセス VPN 機能がないため
修正ソフトウェア以外による回避策
なし
影響を受ける製品
- 3000 シリーズ産業セキュリティ アプライアンス モデル(ISA)
- ASA 5500 シリーズ適応型セキュリティ アプライアンス
- Cisco ASA 5500-X シリーズ次世代ファイアウォール製品群
- Cisco Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータ用の ASA サービス モジュール
- ASA 1000V クラウド ファイアウォール
- 適応型セキュリティ仮想アプライアンス(ASAv)
- FirePOWER 2100 シリーズ セキュリティ アプライアンス
- Firepower 4110 セキュリティ アプライアンス
- FirePOWER 9300 ASA セキュリティ モジュール
- Firepower Threat Defense ソフトウェア(FTD)
影響を受ける条件
上記該当製品の影響を受けるバージョンのソフトウェアを稼働しておりかつ webvpn が有効になっていること
影響を受けるかどうかを確認する方法
- CLI で管理者権限で以下のコマンドを実行して「webvpn」が返されるかどうか。返された場合は対象となる。
ciscoasa# show running-config webvpn
webvpn
- show asp table socket コマンドを実行し、443/tcp 上の SSL および DTLS のリッスンソケット有無についても確認する。当該脆弱性を悪用するには 443/tcp 上の SSL および DTLS のリッスンソケットが存在している必要があるため。
443/tcp 上のリッスンソケットの出力例:
ciscoasa# show asp table socket
Protocol Socket State Local Address Foreign Address
SSL 00005898 LISTEN 10.48.66.202:8443 0.0.0.0:*
TCP 00009718 LISTEN 10.48.66.202:23 0.0.0.0:*
TCP 0000e708 LISTEN 10.48.66.202:22 0.0.0.0:*
SSL 00011cc8 LISTEN 10.48.66.202:443 0.0.0.0:*
DTLS 000172f8 LISTEN 10.48.66.202:443 0.0.0.0:*
ASA ソフトウェアバージョンの確認方法
以下のコマンドを実行する
ciscoasa# show version | include Version
FTD ソフトウェアの場合
ciscoasa# show version