CVE-2018-0296: Cisco ASA および Firepower アプライアンスの脆弱性を突くエクスプロイトの試みが急増
Cisco 適応型セキュリティアプライアンスと Firepower アプライアンスの脆弱性は、1年以上前にパッチ修正が適用されていますが、ここ数週間、この脆弱性を悪用する攻撃の頻度が増加しています。
背景
12月20日、Cisco Talos の研究者らは、以前にパッチ修正が適用されている Cisco 適応型セキュリティアプライアンス (ASA) と Firepower アプライアンスの脆弱性を「悪用する攻撃の試みが突然急増した」ことを警告するブログ記事を公開しました。
分析
CVE-2018-0296 は、ASA Web インターフェイスの不適切な入力が確認されないために発生する脆弱性で、認証されていないリモートの攻撃者は、特別に細工された HTTP リクエストを脆弱な ASA または Firepower デバイスに送信することにより、予期されていないデバイスのリロード、および、サービス拒否(DoS)状態が発生させる可能性があります。ASA または Firepower Threat Defense (FTD) の特定のソフトウェアバージョンでは、リロードは発生しませんが、攻撃者はディレクトリトラバーサルシーケンスを含む特別に細工された HTTP リクエストを送信することにより、機密情報を表示できます。
この脆弱性は、セキュリティ研究者である Securitum の Michal Bentkowski 氏により発見され、彼はこの脆弱性に関する詳細をブログ記事に公開しました。最初のパッチ修正は2018年6月6日に適用されています。大まかに翻訳すると、Bentkowski 氏は彼の記事で次のように述べています。 「上記の例のとおり、この脆弱性が悪用されるとログインしているユーザーに関する情報が取得される可能性があるということをシスコに報告しました。」シスコが公開した脆弱性の説明では、DoS に焦点が当てられ、ディレクトリトラバーサルの可能性についても触れられていますが、Bentkowski 氏の研究は後者に関連すると考えられます。シスコは、2018年6月22日にこの脆弱性のアドバイザリを更新し、この脆弱性を悪用する攻撃を確認したことを発表しました。
シスコは2019年3月にアドバイザリを再度更新し、2019年4月には、「Sea Turtle(ウミガメ)」 と呼ばれる DNS ハイジャックキャンペーンでこの脆弱性が悪用されたことを特定しました。
この脆弱性のさらなる悪用の試みが確認された後、シスコは、2019年9月24日に最後のアドバイザリ更新を公開し、脆弱性の深刻度を「緊急」に引き上げました。
概念実証
脆弱性の最初の概念実証 (PoC) は、2018年6月21日に GitHub に公開され、2019年3月までプルリクエストを受け入れ、定期的に更新されましたが、リポジトリは2019年6月以降更新されていません。
脆弱なデバイスからユーザー名を列挙するエクスプロイトスクリプトや、Cisco Pillager と呼ばれるエクスプロイトスクリプトなどの CVE-2018-0296 の他の PoC も GitHub に公開されています。
ソリューション
前述のとおり、この脆弱性は2018年6月にパッチが適用されています。Cisco ASA または FTD ソフトウェアを実行している次のデバイスには潜在的な脆弱性があります。
| デバイス | 脆弱性有無 |
|---|---|
| Cisco 3000 シリーズ産業用セキュリティ アプライアンス | サポートあり |
| Cisco ASA 1000V クラウドファイアウォール | サポート終了 |
| Cisco ASA 5500 シリーズ適応型セキュリティア プライアンス | サポートあり |
| Cisco ASA 5500-X シリーズ次世代ファイアウォール | サポートあり |
| Cisco Catalyst 6500 シリーズスイッチ ASA サービスモジュール | サポートあり |
| Cisco 7600 シリーズルータ ASA サービスモジュール | サポート終了 |
| Cisco 適応型セキュリティ仮想アプライアンス(ASAv) | サポートあり |
| Cisco Firepower 2100 シリーズ セキュリティ アプライアンス | サポートあり |
| Cisco Firepower 4100 シリーズ セキュリティ アプライアンス | サポートあり |
| Cisco Firepower 9300 セキュリティ アプライアンス | サポートあり |
| Cisco Firepower Threat Defense Virtual (FTDv) | サポートあり |
ASA または FTD ソフトウェアの機能と設定に応じて、デバイスが脆弱になる場合があります。機能と設定の詳細情報については、シスコアドバイザリの影響を受ける製品のセクションを参照してください。
影響を受けているシステムの特定
この脆弱性を識別するための Tenable プラグインのリストは、こちらからご覧いただけます。
詳細情報
- CVE-2018-0296を悪用する攻撃の急増についての Cisco Talos のブログ
- CVE-2018-0296に関するシスコアドバイザリ
- Michał Bentkowski による CVE-2018-0296 についてのブログ記事
- Yassine Aboukir による CVE-2018-0296の概念実証
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。
今すぐ Tenable.io Vulnerability Management の 30 日間無料トライアルをお試しいただけます。
Satnam Narang
シニアスタッフリサーチエンジニア、セキュリティリスポンス
Tenable に 2018 年に入社した Satnam は、業界で 15 年以上の経歴があり (M86 Security、Symantec)、フィッシング対策協議会のメンバーとして、全米サイバーセキュリティアライアンス (NCSA) の「SNS ガイド」の編纂に寄与したほか、Twitter では巨大なスパムのボットネットを発見し、Tinderでもスパムボットを最初に報告するなど広く活動してきました。NBC テレビの Nightly News、Entertainment Tonight、また Bloomberg West や、Why Oh Why ポッドキャストに出演しています。
プライベートの時間には... 詩作に励み、ヒップホップも作曲します。音楽は生で聴くのが好きで、3人の姪との時間が楽しみ。フットボールやバスケットボール、ボリウッド映画や音楽、グログー (ベビーヨーダ) がお気に入りです。
関連記事
Forrester Names Tenable a Leader in the Q3 2025 Unified Vulnerability Management Solutions Wave™ Report
“Tenable continues to extend its established vulnerability management offerings into exposure management with its Tenable One platform,” according to the report....
CVE-2025-53770: Frequently Asked Questions About Zero-Day SharePoint Vulnerability Exploitation
Successful exploitation of CVE-2025-53770 could expose MachineKey configuration details from a vulnerable SharePoint Server, ultimately enabling unauthenticated remote code execution....
CVE-2025-54309: CrushFTP Zero-Day Vulnerability Exploited In The Wild
A critical zero-day flaw in CrushFTP that can grant attackers administrator access was discovered on July 18 and is under active exploitation....
- Vulnerability Management