Cisco ASAの重大な脆弱性の影響を受けるシステムの識別（CVE-2018-0101）

1月29日、Ciscoは自社のAdaptive Security Appliance（ASA）ソフトウェアにある重大な脆弱性に関するアドバイザリーをリリースしました。この重大な欠陥（ CVE-2018-0101）は CVSSスコア10.0 で、サービス拒否攻撃とリモートコードの実行を許してしまう可能性があります。2月5日、Ciscoはこのアドバイザリを更新し、追加の攻撃経路やより影響を受けた製品を発見したことを示しました。さらに、最初の修正では不完全であることも判明しました。早期にパッチを適用した人は、アドバイザリーにもう一度アクセスし、最新のアップデートをデバイスに適用する必要があります。

脆弱性の詳細

この脆弱性を最初に発見したのはNCC Groupで、その後、REcon Brusselsで発表されました。スライドは入手可能で、今ではこの脆弱性の詳細が周知されています。サービス拒否の概念実証もすでにPastebinに公開されています。

報告によると、この脆弱性はCiscoのXMLパーサーの欠陥として7年前から存在していたとのことです。細工されたXMLペイロードを使って、認証されていないリモートの攻撃者が、影響を受けるデバイスでリロードを引き起こす可能性があり、潜在的に任意のコードが実行される恐れがあります。NCC Groupが公表した最初の不正利用は、IKEv1フラグメンテーションを使ってXMLの脆弱性をコード実行に利用するものです。そのため、2018年2月5日に追加されたインターフェイス（ASDM、CSM、Cut-Through Proxy、Local CA、MDM Proxy、およびREST API）による更新は、サービス拒否攻撃に対してのみ脆弱である可能性があります。

影響を受けているシステムの特定

この重大な欠陥の影響を受けるシステムを検出するため、Tenableでは、SecurityCenterまたはTenable.ioを介して管理可能なNessus®プラグインをリリースしました。次の表にTenableのカバー範囲をまとめました。Ciscoでは、最初のリリース以降、アドバイザリーを何回か更新し、影響区分を更新するだけでなく、パッチのバージョンも訂正しました。Tenableでは引き続き状況を監視し、当社のカバー範囲を必要に応じて更新いたします。

注：プラグインID 107004 は、サービス拒否（DoS）の脆弱性を直接的に悪用します。ただし、このチェックは、スキャンポリシーで"安全なチェック"が無効に設定されている場合にのみ実行されます（下を参照）。「安全なチェック」を無効にするのは実稼働以外の環境のみにしてください。無効にすると、プラグインID 107004などのDoSチェックが実行され、システムがクラッシュする恐れがあります。

どうするべきか？

影響を受けるデバイスをネットワーク上で実行している場合は、最新リリースのソフトウェアを実行していることを確認してください。Ciscoのアドバイザリーによると、お客様は定期的にセキュリティ アドバイザリーを確認し、すべての新しいパッチとソフトウェアリリースを確実に適用するよう勧められています。

詳細情報

• 最新のアタックサーフェスを総合的に管理する初のサイバーエクスポージャープラットフォーム、  Tenable.ioの詳細情報
• 今すぐTenable.io Vulnerability Managementの60日間無料トライアルをお試しください！
• Cisco cisco-sa-20180129-asa1アドバイザリー
• CVE-2018-0101に関するCisco ブログ
• NCC リサーチ

このブログ投稿に貢献してくださったJacob Baines氏に感謝します。