2020-10-23 01:14 PM 2020-10-28 12:47 PM 更新
本ドキュメントは、2020年10月に公開された、Adaptive Security Appliance (ASA) や Firepower Threat Defense (FTD) と Firepower Management Center (FMC) ソフトウェアの、CVSSスコア 7.0以上で Highの 17個の脆弱性の補足用に作成しております。
脆弱性の影響をうけるバージョンを利用時、かつ、該当条件にマッチするソフトウェアや機能を利用時は、修正バージョンへの速やかなバージョンアップを強くお勧めします。
なお、本ドキュメントは参考に留め、最新の正確な情報は各脆弱性の英語版のセキュリティアドバイザリやバグサーチを参照するようにしてください。
以下は、2020年10月公開のASA/FTD/FMCソフトウェアの、特に影響度の高いCVSSスコア 7.0以上でHighの各脆弱性の、CVE IDや不具合管理IDの一覧、CVSSスコア、Security Impact Rating (SIR)、セキュリティアドバイザリのURLです。
以下は、各CVE ID毎の、影響を受ける製品や機能と その補足説明、攻撃を受けた場合の影響 (セキュリティインパクト)や回避策の有無、修正バージョンの初リリース月です。なお、脆弱性影響を受ける条件やセキュリティインパクトの詳細、影響・修正バージョン情報など最新の正確な情報は、各セキュリティアドバイザリを参照するようにしてください。
CVE ID | Cisco Bug IDs |
影響をうける製品 | 影響をうける機能 | 補足説明 | 主な影響 | Workaround | 修正 初リリース月 |
ASA もしくは FTD利用時 影響をうける可能性のある脆弱性 | |||||||
CVE-2020-3554 | CSCvt35897 | ASA FTD |
TCP通信処理 | ASA 9.12.2.23以降 もしくは FTD 6.4以降を利用時に、TCP通信処理時に影響をうける可能性あり。パケット処理用の専用メモリ領域が完全に枯渇すると通信処理不可の原因となるため、復旧には再起動が必要 | パケット処理用のメモリ枯渇 | fragment reassembly full [interface-name] コマンドの実行 | 2020年9月 |
CVE-2020-3373 | CSCvu47925 | ASA FTD |
fragmentパケット処理 | ASA 9.8.4.22 9.8.4.25 9.12.4.2 9.12.4.3 9.13.1.12 9.14.1.15、もしくは FTD 6.6.0.1を利用時に、IP fragment通信の再構築処理時に影響をうける可能性あり。パケット処理用の専用メモリ領域が完全に枯渇すると通信処理不可の原因となるため、復旧には再起動が必要 | パケット処理用のメモリ枯渇 | なし | 2020年8月 |
CVE-2020-3528 | CSCvt83121 | ASA FTD |
OSPFv2 | ASA もしくは FTDで、OSPFv2を利用時のみ影響をうける可能性あり | 再起動 | なし | 2020年6月 |
CVE-2020-3529 | CSCvu59817 | ASA FTD |
AnyConnect ClientlessVPN |
ASA もしくは FTDで、AnyConnectや ClientlessVPNを利用時のみ影響をうける可能性あり | 再起動 | なし | 2020年9月 |
CVE-2020-3572 | CSCvu46685 | ASA FTD |
ASA/FTDと端末間のSSL/TLS通信 |
ASA もしくは FTDで、AnyConnectや ClientlessVPNを終端、もしくは ASDM管理時などに影響をうける可能性がある。ASA/FTDデバイスと端末間の HTTPS通信(SSL/TLS)に関する脆弱性 |
メモリ枯渇 | なし | 2020年8月 |
CVE-2020-3304 | CSCvs10748 CSCvt70322 |
ASA FTD |
HTTPサーバー REST API |
ASA もしくは FTDで、HTTPサーバー機能 もしくは REST APIを有効時のみ影響をうける可能性あり。ASAでASDM管理を有効にした場合、ASAのHTTPサーバー機能は有効になる。REST APIはデフォルト無効 | 再起動 | なし | 2020年4月 |
CVE-2020-3436 | CSCvt60190 | ASA FTD |
AnyConnect ClientlessVPN |
ASA もしくは FTDで、AnyConnectや ClientlessVPNを利用時のみ影響をうける可能性あり | 再起動 | なし | 2020年7月 |
FTD もしくは FMC利用時 影響をうける可能性のある脆弱性 | |||||||
CVE-2020-3577 | CSCvt02409 | FTD | Inline Pairモード Passiveモード |
FTDで Inline Pair もしくは Passiveモード利用時に影響をうける可能性あり | ディスクの空き容量枯渇 再起動 |
なし | 2020年9月 |
CVE-2020-3533 | CSCvu80370 | FTD | SNMP監視 | FTD 6.6.0を利用時、かつFTDの管理インターフェイス宛のSNMPポーリング有効時に影響をうける可能性あり | 再起動 | FTD管理インターフェイスへのSNMPポーリング無効化 | 2020年9月 |
CVE-2020-3563 | CSCvs56888 | FTD | FTD宛 TCP通信 |
FTD 6.3~6.5を利用時に、FTDデバイス宛のTCPパケット処理時に影響をうける可能性あり | メモリ枯渇 | なし | 2020年10月 |
CVE-2020-3562 | CSCvs56802 | FPR2100 FTD |
SSL/TLS inspection | Firepower 2100シリーズで SSL/TLS inspection 利用時のみ影響をうける可能性あり。FTD 6.3~6.5が影響うける可能性あり。修正は6.6以降のみ | 再起動 | なし | 2020年4月 |
CVE-2020-3571 | CSCvt09940 | FPR4110 FTD |
FTD宛 ICMP通信 |
Firepower 4110で FTDを利用時のみ影響をうける可能性あり。他のFirepower 4100シリーズや、ASAは影響をうけない | メモリ枯渇 | なし | 2020年10月 |
CVE-2020-3514 | CSCvu08422 | FPR4100or FPR9300 FTD |
Multi- Instance |
Firepower 4100/9300シリーズで Multi-instance 機能を利用時に影響をうける可能性あり | 不正なコマンド実行 | なし | 2020年9月 |
CVE-2020-3550 | CSCvp56744 | FMC FTD |
sfmgr | FMC管理のFTDを利用し、バージョン 6.4以下を利用時のみ影響をうける可能性あり。sfmgrプロセスに関する脆弱性 | 不正なコマンド実行やファイル改ざん | なし | 2020年10月 |
CVE-2020-3549 | CSCvp56719 | FMC FTD |
sftunnel | FMCとFTD間の管理通信(sftunnel)に関する脆弱性。Exploitするには、FMCとFTD間の通信を傍受し、man-in-the-middle(中間者攻撃)の実行が必要。修正は6.6以降のみ | 不正なコマンド実行やアラート改ざん | なし | 2020年9月 |
CVE-2020-3410 | CSCvv16245 | FMC | CSCベース認証 | FMC 6.6 系を利用し、かつ CSCベース認証を設定時のみ影響をうける可能性あり | FMCに不正アクセス | なし | 2020年9月 |
CVE-2020-3499 | CSCvq11282 | FMC | Smart License | FMC 6.5以下を利用時、かつ スマートライセンス利用時に影響をうける可能性あり。Exploitするには、FMC動作システムに悪意あるリクエスト送付が必要。修正は6.6以降のみ | システム停止 | なし | 2020年4月 |
以下リンクをクリックしプレビュー・ダウンロードや、当ドキュメント下部のダウンロードリンクからダウンロード可能です。参考用としてご利用ください。
脆弱性の修正バージョンのリリーズ"以前"のバージョンを利用時は、17個の脆弱性のうちの何れかの影響を受けるバージョンを利用している可能性が高まります。修正を含まないバージョンを使用時、かつ、影響をうける製品や利用機能がマッチする場合、その脆弱性の影響をうける可能性が高いです。
なお、製品・バージョンや該当条件がマッチするかどうかの最終的な確認は、各脆弱性の最新の英語版のセキュリティアドバイザリやバグサーチを確認し、判断するようにしてください。バージョンが該当してるかどうかのセキュリティアドバイザリやバグサーチの確認方法について詳しくは、ASA: ソフトウェア不具合と修正バージョンの確認方法 を参照してください。
脆弱性の影響をうける場合は、回避策の実施 (CVE-2020-3554 と CVE-2020-3533 のみ回避策あり)、もしくは 速やかな修正バージョンへのバージョンアップを強くお勧めします。
以下はASAソフトウェアの、2020年10月公開 脆弱性すべての修正を含む、各トレインの修正バージョン一覧です。なお、修正バージョン以前のバージョンを利用時は、脆弱性の影響を受けるバージョンを利用している可能性が高いです。
また、修正バージョンへのバージョンアップを検討時は、基本的に各トレインの修正を含む "より最新"のバージョンを利用してください。例えば、9.12トレインで、9.12(4)4と 9.12(4)7が公開されている場合、どちらも各脆弱性の修正を含みますが、9.12(4)7のほうが、他の不具合も修正された より洗練されたバージョンです。
また、2桁目が奇数のトレイン(例:9.5や9.7、9.13)は短期サポート対象のリリースとなり、1つ上の偶数トレイン(例: 9.6や 9.8、9.12、9.14)が長期サポート対象の安定リリースとなり、奇数トレインの修正も引き継がれます。なお、9.10は特殊リリースとなりサポートは短期間で終わります。トレイン選定について詳しくは、ASA9.5(1)以降: トレイン別のサポートモデルの違いについて を参照してください。
9.13トレインを利用時は、9.13.1.15以降の利用が推奨です。9.13系で影響をうける別のSSL/TLS関係の脆弱性 CVE-2020-27124 の修正含むためです。なお、CVE-2020-27124 は、ASA 9.12 トレイン以降で影響のある脆弱性となり、ASA 9.124.4以降や ASA 9.14.1.30以降は既に修正を含んでいます。
ASAトレイン | 修正バージョン | 修正バージョン 初リリース (2020年10月23日時点) |
9.5以前 |
修正バージョンリリース済み トレインにアップグレードが必要。9.12 が、サポート期間も十分長く 安定したトレイン |
- |
9.6 | 9.6.4.45 or later | 2020年9月 リリース済み |
9.7 |
修正バージョンリリース済みトレインにアップグレードが必要。9.12 が、サポート期間も十分長く 安定したトレイン |
- |
9.8 | 9.8.4.29 or later | 2020年10月 リリース済み |
9.9 | 9.9.2.80 or later | 2020年9月 リリース済み |
9.10 | 9.10.1.44 or later | 2020年9月 リリース済み |
9.11 | (廃版) | - |
9.12 | 9.12.4.4 or later | 2020年9月 リリース済み |
9.13 |
9.13.1.15 or later |
2020年11月リリース予定 |
9.14 | 9.14.1.30 or later | 2020年9月 リリース済み |
以下はFTD/FMCソフトウェアの、2020年10月公開 脆弱性すべての修正を含む、各トレインの修正バージョン一覧です。なお、修正バージョン以前のバージョンを利用時は、脆弱性の影響を受けるバージョンを利用している可能性が高いです。
また、修正バージョンへのバージョンアップを検討時は、基本的に各トレインの修正を含む "より最新"のバージョンを利用てください。例えば、6.6トレインで、6.6.1と 6.6.1.1 が公開されている場合、どちらも各脆弱性の修正を含みますが、6.6.1.1のほうが 他の不具合も修正された より洗練されたバージョンです。(注記: 6.6.1.1は 2020年10月現在 まだ公開されてません。)
2桁目が奇数のトレイン(例:6.3や6.5)は短期サポート対象のリリースとなり、1つ上の偶数トレイン(例: 6.4や6.6)が長期サポート対象となり、奇数トレインの修正も引き継がれます。奇数トレインはサポート期間が短く、基本的に影響度の大きい不具合や脆弱性の修正しか行われないため、奇数トレインを利用時の場合は、後継の偶数トレインの安定バージョンへのアップグレードが推奨されます。
Firepower System をご利用の全てのお客様に、シスコは 6.6.1以降の利用を 強くお勧めしております。6.4 もしくは 6.6系が長期サポート対象の安定リリースです。トレイン選定について詳しくは、ASA/FTD: トレイン別のサポートモデルの違いについて の よくある質問「FTDにも長期と短期サポート対象の違いはありますか」を参照してください。
FTDトレイン | 修正バージョン (CVE-2020-3562 CVE-2020-3549 CVE-2020-3499 の修正を除く) |
修正バージョン (全てのFTD/FMC脆弱性修正含む) |
修正リリースある場合の バージョン 初リリース月 (2020年10月23日時点) |
6.2.3以前 |
修正含むバージョンにアップグレード (6.6.1以降 もしくは 6.4.0.10以降が推奨) |
6.6.1以降にアップグレード |
|
6.3 |
6.3.0.6 or later |
6.6.1以降にアップグレード |
2020年12月中旬 リリース予定 |
6.4 |
6.4.0.10 or later |
6.6.1以降にアップグレード |
2020年10月 リリース済み |
6.5 |
6.5.0.5 or later |
6.6.1以降にアップグレード |
2020年11月末 リリース予定 |
6.6 | 6.6.1 or later | 6.6.1 or later | 2020年9月 リリース済み |
Note:
CVE-2020-3554 と CVE-2020-3533 は回避策があるため、回避策の適用により脆弱性の影響を避ける事も可能です。それ以外の脆弱性については、その機能の利用停止以外に回避策はありません。回避策の無い脆弱性の影響をうける場合は、修正を含むバージョンへの速やかなバージョンアップを強くお勧めいたします。
ASAやFTDのシステムメモリが大きく枯渇すると、アプリケーションがメモリを利用できないことによる、予期せぬ再起動や サービス継続妨害 (DoS) の原因となります。
ASA利用時は、ASAのシステムメモリ使用状況は show memory コマンドで確認できます。メモリ使用率が80%以上で かつ継続して使用率があがる場合は、何らかのメモリ枯渇の不具合の影響や攻撃を受けている可能性があがります。SNMPポーリングを用いたメモリ使用状況の監視方法は以下ドキュメントを参考にしてください。
FTDを利用時は、ASA(LINAエンジン)のシステムメモリ使用状況は、GUI もしくは CLI から show memory コマンドで確認できます。GUI からの確認方法は、FMC: FTD: LINA(ASA)エンジンCLIの GUIからの確認や パケットキャプチャ方法 を参考にしてください。CLIからの確認方法は、FTD CLIで "system support diagnostic-cli"コマンドを実行することで、ASA (LINAエンジン) にアクセスし、ASAの show系のコマンドラインを実行できます。なお、FTDの ASA(LINAエンジン)からの設定変更などはできず、FTDの設定変更は全てGUIから実施必要であることに注意してください。FTDの ASA(LINAエンジン)のSNMPメモリ監視は、ASAと同じOIDを利用できます。
パケット処理用のメモリ枯渇問題の場合、パケット処理専用のメモリは Block といい、以下のドキュメントを参考に Block の使用状況の確認や、SNMP監視が可能です。Block領域は特定機能の高速処理用に事前に確保された専用メモリです。Block領域が枯渇した場合、再起動が引き起こされることは通常ありませんが、そのBlock領域を利用する特定機能の処理の不安定化や停止の原因となります。例えば、block 9344 は パケット処理全般に利用されている専用メモリ領域のため、当領域が枯渇すると パケット処理全体の不安定化や停止の原因となります。
ASA 9.5以前は既に ソフトウェアメンテナンス終了日 (End of SW Maintenance) を迎えているため、原則修正バージョンはリリースされません。 ASA 9.5以前のASAバージョンを利用しており、アップグレード可能な場合は、ASA 9.8や ASA 9.12の最新Interimバージョンにアップグレードなどを検討してください。2桁目(マイナーバージョン)が偶数のトレイン(※9.10は除く)は、長期メンテナンス対象の安定バージョンとなります。(例: 9.6.x, 9.8.x, 9.12.x, 9.14.x)
各トレインのソフトウェアメンテナンス終了日 (End of SW Maintenance) は以下ドキュメントなどで確認できます。記載のないトレインは、まだソフトウェアメンテナンス終了日はアナウンスされてません。
ASA5500シリーズ(=ASA5505やASA5510/5520/5540/5550/5580)を利用時、利用可能なトレインは 9.1 もしくは 9.2 までとなり、両トレインとも End of SW Maintenance Releases Date:OS SW を 2018年8月に迎えており、以降の新規のソフトウェア修正バージョンのリリースは終了しております。詳しくは、以下のノーティスをご確認ください。
https://www.cisco.com/c/en/us/products/collateral/security/asa-firepower-services/eos-eol-notice-c51-738645.html
https://www.cisco.com/c/en/us/products/collateral/security/asa-firepower-services/eos-eol-notice-c51-738647.html
既にソフトウェアメンテナンスの終了した製品では、今回の脆弱性に限らず、End of SW Maintenance Releases Date:OS SW 以降に発見された不具合や脆弱性の影響調査や修正と その修正適用が困難です。影響を受ける機能を利用時や、インターネットに接続機器など 脅威にさらされる環境での、ソフトウェメンテナンスの終了した製品の利用継続は 特にリスクが高いです。ソフトウェアメンテナンスサポートの終了の近い製品、もしくは 終了した製品は、ソフトウェアメンテナンス中の後継製品などへの 速やかなマイグレーションやアップグレードを検討してください。
AnyConnect ソフトウェアは影響を受けません。今回の脆弱性の影響を受ける可能性があるのは、ASA/FTD/FMCソフトウェアのみです。
Firepower Threat Defense の略で、従来のASAソフトウェアと、主にL7のアプリケーションやIPS制御を行うFirePOWERソフトウェアを統合した、次世代ファイアウォールソフトウェアです。ASAの主な機能に加え、アプリケーション制御やIPS制御、URLフィルタリング、アンチマルウェアなどの高度機能に対応します。Firepower1000/2100/4100/9300シリーズや ASA5500-Xシリーズを利用時は、搭載OSを ASA もしくは FTD のいずれかを選ぶことが可能です。なお、ASA5500-Xシリーズの場合 FTDの利用には、追加のハードウェアが必要になることがあります。また、FTDの利用機能によっては、サブスクリプションライセンスの追加購入が必要です。
ASAとFTDの比較についてより詳しくは、以下のオンラインセミナーの資料を参照ください。なお、オンラインセミナー資料の閲覧にはサービス契約に紐づいたCCOアカウントが必要です。
FTDは、主にL3/L4処理に特化したASAソフトウェアと、L7処理に特化したFirePOWERソフトウェアが統合されてます。FTD内部には 主にL3/L4処理用にASA(=LINAエンジン)が稼働しているため、内部ASAバージョンのバージョンアップには、FTDの脆弱性/不具合対応が可能です。
なお、FTD内部のASA(=LINAエンジン)のみのアップグレードはできないため、FTDの内部ソフトウェアのASA(LINAエンジン)のバージョンアップには、FTDソフトウェアのバージョンアップや Hotfix適用が必要となります。
どのFTDソフトウェアが どの内部ASAバージョンを利用しているかは、以下ドキュメントの「Table 21. Bundled Components」が参考になります。
利用中のFTDにバンドルされた Adaptive Security Appliance (ASA) ソフトウェアバージョンは、"system support diagnostic-cli"コマンドでASA(LINAエンジン)にログイン後、show version コマンドで確認できます。
> system support diagnostic-cli Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach. Type help or '?' for a list of available commands. firepower> show version -------------------[ firepower ]-------------------- Model : Cisco Firepower 4140 Threat Defense (76) Version 6.4.0.7 (Build 53) UUID : 00b373f4-40d5-11ea-98b5-de301c0eda17 Rules update version : 2020-05-06-001-vrt VDB version : 333 ---------------------------------------------------- Cisco Adaptive Security Appliance Software Version 9.12(2)151 <--- THIS Firepower Extensible Operating System Version 2.8(1.80) Compiled on Wed 04-Dec-19 18:44 PST by builders System image file is "disk0:/fxos-lfbff-k8.2.8.1.80.SPA" Config file at boot was "startup-config"
もしくは、そのASA(LINAエンジン)の修正バージョンを搭載した 修正済みFTDバージョンは、セキュリティアドバイザリで確認できます。
FTD内部には 主にL3/L4やリモートアクセスVPNなどの処理用に ASAソフトウェア(=LINAエンジン)が稼働しています。ASAの脆弱性の場合、そのOS/機能を利用するFTDも同様に影響を受けることが多いです。
FMCと FTDデバイス間のセキュアなトンネルのこと、もしくはそのトンネルを管理する内部プロセスです。sftunnelを通して、FMCからFTDへの設定変更や、FTDからFMCへのイベント送付など管理処理全般が行われます。
sftunnelと連携し、セキュアトンネル上でRPCリクエスト処理などを実施する内部プロセスです。
以下3つのFTC/FMC脆弱性が、FTD/FMC バージョン 6.6.1以降のみで修正されている影響です。以下3つの脆弱性の修正には、大きなコード修正が必要であり、修正による別の問題発生リスクがあるため、6.6未満リリースへの修正適用を実施してません。2020年10月現在、FTD 6.6.1は Suggested Release に選ばれている、長期サポート対象の安定バージョンです。
なお、FMCとFTD間の管理用のセキュアなトンネル(sftunnel)の脆弱性であるCVE-2020-3549は、Exploitの条件は FMCとFTD間のセキュアなトンネルを傍受しての、man-in-the-middle(中間者攻撃)の実行です。 このFMCとFTD間のトンネルが、インターネットや 第三者がアクセス可能なLANなど非セキュアな環境を経由してない場合は、悪意ある攻撃者による中間者攻撃の実行が難しく、当脆弱性が悪用されるリスクは低いです。
なお、FMCのスマートライセンスの脆弱性であるCVE-2020-3499は、Exoloitの条件はFMCが動作しているシステムへの不正なリクエスト送付です。悪意ある攻撃者からのアクセスが難しい環境にFMCシステムがある場合は、当脆弱性が悪用されるリスクは低いです。
セキュリティアドバイザリやバグサーチに記載以上の発生条件や対応策、エクスプロイトの情報などについては、セキュリティ上の理由もあり、原則シスコからは開示してません。また、シスコは、発見された場所や発見者に関係なく、脆弱性の情報は すべてのお客様が公平に通知を受ける必要があるという立場を堅持しており、公開している情報以上の細かな部分開示などは原則実施しておりません。影響を受けるシステムを利用時、もしくは、その影響懸念がある場合は、その保護のために 速やかなバージョンアップを検討してください。
公開しておりません。
セキュリティアドバイザリの見方や購読方法、修正バージョンの確認方法は、以下ドキュメントを合わせ参考ください。ASA/FTDも情報の見方は大きく変わりません。
セキュリティアドバイザリに関するQ&Aは、以下ドキュメントも合わせ参考ください。
セキュリティアドバイザリについてより詳しくは、以下ドキュメントも参考ください。
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします