はじめに

本ドキュメントは、2020年10月に公開された、Adaptive Security Appliance (ASA) や Firepower Threat Defense (FTD) と Firepower Management Center (FMC) ソフトウェアの、CVSSスコア 7.0以上で Highの 17個の脆弱性の補足用に作成しております。

脆弱性の影響をうけるバージョンを利用時、かつ、該当条件にマッチするソフトウェアや機能を利用時は、修正バージョンへの速やかなバージョンアップを強くお勧めします。

なお、本ドキュメントは参考に留め、最新の正確な情報は各脆弱性の英語版のセキュリティアドバイザリやバグサーチを参照するようにしてください。

• Cisco Event Response: October 2020 Cisco ASA, FMC, and FTD Software Security Advisory Bundled Publication (英語)
• Cisco Security Advisories (英語)
• セキュリティ アドバイザリ

ASA/FTD/FMC 2020年10月公開 脆弱性の一覧 (High以上)

各CVE-IDのセキュリティアドバイザリURLやCVSSスコア

以下は、2020年10月公開のASA/FTD/FMCソフトウェアの、特に影響度の高いCVSSスコア 7.0以上でHighの各脆弱性の、CVE IDや不具合管理IDの一覧、CVSSスコア、Security Impact Rating (SIR)、セキュリティアドバイザリのURLです。

各CVE-IDの該当条件や影響、修正バージョン初リリース月

以下は、各CVE ID毎の、影響を受ける製品や機能と その補足説明、攻撃を受けた場合の影響 (セキュリティインパクト)や回避策の有無、修正バージョンの初リリース月です。なお、脆弱性影響を受ける条件やセキュリティインパクトの詳細、影響・修正バージョン情報など最新の正確な情報は、各セキュリティアドバイザリを参照するようにしてください。

各脆弱性の条件や影響 一覧 (エクセルファイル)

以下リンクをクリックしプレビュー・ダウンロードや、当ドキュメント下部のダウンロードリンクからダウンロード可能です。参考用としてご利用ください。

• October-2020-ASA-FTD-FMC-vulnerabilities-20201022v2.xlsx

影響バージョンと 17個脆弱性の修正バージョン

脆弱性の修正バージョンのリリーズ"以前"のバージョンを利用時は、17個の脆弱性のうちの何れかの影響を受けるバージョンを利用している可能性が高まります。修正を含まないバージョンを使用時、かつ、影響をうける製品や利用機能がマッチする場合、その脆弱性の影響をうける可能性が高いです。

なお、製品・バージョンや該当条件がマッチするかどうかの最終的な確認は、各脆弱性の最新の英語版のセキュリティアドバイザリやバグサーチを確認し、判断するようにしてください。バージョンが該当してるかどうかのセキュリティアドバイザリやバグサーチの確認方法について詳しくは、ASA: ソフトウェア不具合と修正バージョンの確認方法 を参照してください。

脆弱性の影響をうける場合は、回避策の実施 (CVE-2020-3554 と CVE-2020-3533 のみ回避策あり)、もしくは 速やかな修正バージョンへのバージョンアップを強くお勧めします。

ASAソフトウェア利用時

以下はASAソフトウェアの、2020年10月公開 脆弱性すべての修正を含む、各トレインの修正バージョン一覧です。なお、修正バージョン以前のバージョンを利用時は、脆弱性の影響を受けるバージョンを利用している可能性が高いです。

また、修正バージョンへのバージョンアップを検討時は、基本的に各トレインの修正を含む "より最新"のバージョンを利用してください。例えば、9.12トレインで、9.12(4)4と 9.12(4)7が公開されている場合、どちらも各脆弱性の修正を含みますが、9.12(4)7のほうが、他の不具合も修正された より洗練されたバージョンです。

また、2桁目が奇数のトレイン(例:9.5や9.7、9.13)は短期サポート対象のリリースとなり、1つ上の偶数トレイン(例: 9.6や 9.8、9.12、9.14)が長期サポート対象の安定リリースとなり、奇数トレインの修正も引き継がれます。なお、9.10は特殊リリースとなりサポートは短期間で終わります。トレイン選定について詳しくは、ASA9.5(1)以降: トレイン別のサポートモデルの違いについて を参照してください。

9.13トレインを利用時は、9.13.1.15以降の利用が推奨です。9.13系で影響をうける別のSSL/TLS関係の脆弱性 CVE-2020-27124 の修正含むためです。なお、CVE-2020-27124 は、ASA 9.12 トレイン以降で影響のある脆弱性となり、ASA 9.124.4以降や ASA 9.14.1.30以降は既に修正を含んでいます。

• ASA 9.5トレイン以前は、End of SW Maintenance Releases Date を迎えているため、修正バージョンリリースなし
• ソフトウェアの選定方法や、ASDMを利用した ASAソフトウェアのバージョンアップ方法は、ASA: ASDMを用いた、同じトレイン内の 最新バージョンへのアップグレード方法 などを参考
• 冗長構成での ASAソフトウェアのバージョンアップ方法は  ASA: Active/Standby冗長構成のCLIでのアップグレード方法
  などを参考
• FPR4100/9300シリーズ利用時は、ASAバージョンアップ先に応じて、Cisco Firepower 4100/9300 FXOS Compatibility を参照しFXOSバージョンの互換性の確認と、適宜FXOSの事前バージョンアップを実施すること
• FPR1000/2100シリーズを利用時は、ASAバージョンアップで 自動的に互換性のあるFXOSバージョンが利用されるため、FXOSとASAの互換性を考慮する必要はない

FTD/FMCソフトウェア利用時

以下はFTD/FMCソフトウェアの、2020年10月公開 脆弱性すべての修正を含む、各トレインの修正バージョン一覧です。なお、修正バージョン以前のバージョンを利用時は、脆弱性の影響を受けるバージョンを利用している可能性が高いです。

また、修正バージョンへのバージョンアップを検討時は、基本的に各トレインの修正を含む "より最新"のバージョンを利用てください。例えば、6.6トレインで、6.6.1と 6.6.1.1 が公開されている場合、どちらも各脆弱性の修正を含みますが、6.6.1.1のほうが  他の不具合も修正された より洗練されたバージョンです。(注記: 6.6.1.1は 2020年10月現在 まだ公開されてません。)

2桁目が奇数のトレイン(例:6.3や6.5)は短期サポート対象のリリースとなり、1つ上の偶数トレイン(例: 6.4や6.6)が長期サポート対象となり、奇数トレインの修正も引き継がれます。奇数トレインはサポート期間が短く、基本的に影響度の大きい不具合や脆弱性の修正しか行われないため、奇数トレインを利用時の場合は、後継の偶数トレインの安定バージョンへのアップグレードが推奨されます。

Firepower System をご利用の全てのお客様に、シスコは 6.6.1以降の利用を 強くお勧めしております。6.4 もしくは 6.6系が長期サポート対象の安定リリースです。トレイン選定について詳しくは、ASA/FTD: トレイン別のサポートモデルの違いについて の よくある質問「FTDにも長期と短期サポート対象の違いはありますか」を参照してください。

Note:

• CVE-2020-3562・CVE-2020-3549・CVE-2020-3499を含めた全てのFTD/FMCの脆弱性の修正を行うには、6.6.1以降へのバージョンアップが必要
• FMCで管理しているFTDをバージョンアップする場合、事前にFMCを同じバージョンか よりも高いバージョンに 事前バージョンアップが必要
• 修正バージョン未リリースの場合、対応するHotfixがリリースされているため、Hotfix適用の検討を
• Firepower SystemのパッチやHotfix適用手順は、Firepower System: FMCと 管理deviceの パッチ 簡易アップデート手順を参照
• FPR4100/9300シリーズ利用時は、FTDバージョンアップ先に応じて、Cisco Firepower 4100/9300 FXOS Compatibility を参照しFXOSバージョンの互換性の確認と、適宜FXOSの事前バージョンアップを実施すること
• FPR1000/2100シリーズを利用時は、FTDバージョンアップで 自動的に互換性のあるFXOSバージョンが利用されるため、FXOSとFTDの互換性を考慮する必要はない

よくある質問

今回の17個の脆弱性において、バージョンアップ以外の回避策はありますか

CVE-2020-3554 と CVE-2020-3533 は回避策があるため、回避策の適用により脆弱性の影響を避ける事も可能です。それ以外の脆弱性については、その機能の利用停止以外に回避策はありません。回避策の無い脆弱性の影響をうける場合は、修正を含むバージョンへの速やかなバージョンアップを強くお勧めいたします。

メモリ枯渇を引き起こす脆弱性の影響や監視方法を教えてください

ASAやFTDのシステムメモリが大きく枯渇すると、アプリケーションがメモリを利用できないことによる、予期せぬ再起動や サービス継続妨害 (DoS) の原因となります。

ASA利用時は、ASAのシステムメモリ使用状況は show memory コマンドで確認できます。メモリ使用率が80%以上で かつ継続して使用率があがる場合は、何らかのメモリ枯渇の不具合の影響や攻撃を受けている可能性があがります。SNMPポーリングを用いたメモリ使用状況の監視方法は以下ドキュメントを参考にしてください。

• ASA 8.4以降: SNMP ポーリングを用いたメモリ監視について  

FTDを利用時は、ASA(LINAエンジン)のシステムメモリ使用状況は、GUI もしくは CLI から show memory コマンドで確認できます。GUI からの確認方法は、FMC: FTD: LINA(ASA)エンジンCLIの GUIからの確認や パケットキャプチャ方法 を参考にしてください。CLIからの確認方法は、FTD CLIで "system support diagnostic-cli"コマンドを実行することで、ASA (LINAエンジン) にアクセスし、ASAの show系のコマンドラインを実行できます。なお、FTDの ASA(LINAエンジン)からの設定変更などはできず、FTDの設定変更は全てGUIから実施必要であることに注意してください。FTDの ASA(LINAエンジン)のSNMPメモリ監視は、ASAと同じOIDを利用できます。

パケット処理用のメモリ枯渇問題の場合、パケット処理専用のメモリは Block といい、以下のドキュメントを参考に Block の使用状況の確認や、SNMP監視が可能です。Block領域は特定機能の高速処理用に事前に確保された専用メモリです。Block領域が枯渇した場合、再起動が引き起こされることは通常ありませんが、そのBlock領域を利用する特定機能の処理の不安定化や停止の原因となります。例えば、block 9344 は パケット処理全般に利用されている専用メモリ領域のため、当領域が枯渇すると パケット処理全体の不安定化や停止の原因となります。

• ASA: Blockの各SIZEの利用用途と 使用状況の確認

ASAトレイン 9.5以前を利用してますが、修正バージョンはリリースされますか

ASA 9.5以前は既に ソフトウェアメンテナンス終了日 (End of SW Maintenance) を迎えているため、原則修正バージョンはリリースされません。 ASA 9.5以前のASAバージョンを利用しており、アップグレード可能な場合は、ASA 9.8や ASA 9.12の最新Interimバージョンにアップグレードなどを検討してください。2桁目(マイナーバージョン)が偶数のトレイン(※9.10は除く)は、長期メンテナンス対象の安定バージョンとなります。（例： 9.6.x, 9.8.x, 9.12.x, 9.14.x)

各トレインのソフトウェアメンテナンス終了日 (End of SW Maintenance) は以下ドキュメントなどで確認できます。記載のないトレインは、まだソフトウェアメンテナンス終了日はアナウンスされてません。

• End-of-Life and End-of-Sale Notices
• ASA: ASDMを用いた、同じトレイン内の 最新バージョンへのアップグレード方法

旧ASA5500シリーズを利用していますが、利用可能な修正バージョンはリリースされますか

ASA5500シリーズ(=ASA5505やASA5510/5520/5540/5550/5580)を利用時、利用可能なトレインは 9.1 もしくは 9.2 までとなり、両トレインとも End of SW Maintenance Releases Date:OS SW を 2018年8月に迎えており、以降の新規のソフトウェア修正バージョンのリリースは終了しております。詳しくは、以下のノーティスをご確認ください。
https://www.cisco.com/c/en/us/products/collateral/security/asa-firepower-services/eos-eol-notice-c51-738645.html
https://www.cisco.com/c/en/us/products/collateral/security/asa-firepower-services/eos-eol-notice-c51-738647.html

既にソフトウェアメンテナンスの終了した製品では、今回の脆弱性に限らず、End of SW Maintenance Releases Date:OS SW 以降に発見された不具合や脆弱性の影響調査や修正と その修正適用が困難です。影響を受ける機能を利用時や、インターネットに接続機器など 脅威にさらされる環境での、ソフトウェメンテナンスの終了した製品の利用継続は 特にリスクが高いです。ソフトウェアメンテナンスサポートの終了の近い製品、もしくは 終了した製品は、ソフトウェアメンテナンス中の後継製品などへの 速やかなマイグレーションやアップグレードを検討してください。

今回の脆弱性は、AnyConnectソフトウェアは影響を受けますか

AnyConnect ソフトウェアは影響を受けません。今回の脆弱性の影響を受ける可能性があるのは、ASA/FTD/FMCソフトウェアのみです。

FTDとはなんですか

Firepower Threat Defense の略で、従来のASAソフトウェアと、主にL7のアプリケーションやIPS制御を行うFirePOWERソフトウェアを統合した、次世代ファイアウォールソフトウェアです。ASAの主な機能に加え、アプリケーション制御やIPS制御、URLフィルタリング、アンチマルウェアなどの高度機能に対応します。Firepower1000/2100/4100/9300シリーズや ASA5500-Xシリーズを利用時は、搭載OSを ASA もしくは FTD のいずれかを選ぶことが可能です。なお、ASA5500-Xシリーズの場合 FTDの利用には、追加のハードウェアが必要になることがあります。また、FTDの利用機能によっては、サブスクリプションライセンスの追加購入が必要です。

ASAとFTDの比較についてより詳しくは、以下のオンラインセミナーの資料を参照ください。なお、オンラインセミナー資料の閲覧にはサービス契約に紐づいたCCOアカウントが必要です。

• Firepower 2100/4100 の ASA/FTD 利用時の比較と保守方法

FTDの脆弱性なのに、バグサーチにASAの修正バージョンのみ記載があることがあるのは何故ですか

FTDは、主にL3/L4処理に特化したASAソフトウェアと、L7処理に特化したFirePOWERソフトウェアが統合されてます。FTD内部には 主にL3/L4処理用にASA(=LINAエンジン)が稼働しているため、内部ASAバージョンのバージョンアップには、FTDの脆弱性/不具合対応が可能です。

なお、FTD内部のASA(=LINAエンジン)のみのアップグレードはできないため、FTDの内部ソフトウェアのASA(LINAエンジン)のバージョンアップには、FTDソフトウェアのバージョンアップや Hotfix適用が必要となります。

どのFTDソフトウェアが どの内部ASAバージョンを利用しているかは、以下ドキュメントの「Table 21. Bundled Components」が参考になります。

• Cisco Firepower Compatibility Guide

利用中のFTDにバンドルされた Adaptive Security Appliance (ASA) ソフトウェアバージョンは、"system support diagnostic-cli"コマンドでASA(LINAエンジン)にログイン後、show version コマンドで確認できます。

> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.

firepower> show version
-------------------[ firepower ]--------------------
Model                     : Cisco Firepower 4140 Threat Defense (76) Version 6.4.0.7 (Build 53)
UUID                      : 00b373f4-40d5-11ea-98b5-de301c0eda17
Rules update version      : 2020-05-06-001-vrt
VDB version               : 333
----------------------------------------------------

Cisco Adaptive Security Appliance Software Version 9.12(2)151    <--- THIS
Firepower Extensible Operating System Version 2.8(1.80)

Compiled on Wed 04-Dec-19 18:44 PST by builders
System image file is "disk0:/fxos-lfbff-k8.2.8.1.80.SPA"
Config file at boot was "startup-config"

もしくは、そのASA(LINAエンジン)の修正バージョンを搭載した 修正済みFTDバージョンは、セキュリティアドバイザリで確認できます。

ASAとFTDの両方が影響を受ける脆弱性のある理由は何故ですか

FTD内部には 主にL3/L4やリモートアクセスVPNなどの処理用に ASAソフトウェア(=LINAエンジン)が稼働しています。ASAの脆弱性の場合、そのOS/機能を利用するFTDも同様に影響を受けることが多いです。

CVE-2020-3549 の sftunnel とはなんですか

FMCと FTDデバイス間のセキュアなトンネルのこと、もしくはそのトンネルを管理する内部プロセスです。sftunnelを通して、FMCからFTDへの設定変更や、FTDからFMCへのイベント送付など管理処理全般が行われます。

CVE-2020-3550 の sfmgr とはなんですか

sftunnelと連携し、セキュアトンネル上でRPCリクエスト処理などを実施する内部プロセスです。

FTD/FMCの全脆弱性の修正バージョンが6.6.1以降のみの理由をおしえてください

以下3つのFTC/FMC脆弱性が、FTD/FMC バージョン 6.6.1以降のみで修正されている影響です。以下３つの脆弱性の修正には、大きなコード修正が必要であり、修正による別の問題発生リスクがあるため、6.6未満リリースへの修正適用を実施してません。2020年10月現在、FTD 6.6.1は Suggested Release に選ばれている、長期サポート対象の安定バージョンです。

• Cisco Firepower 2100 Series SSL/TLS Inspection Denial of Service Vulnerability (CVE-2020-3562)
• Cisco Firepower Management Center Software and Firepower Threat Defense Software sftunnel Pass the Hash Vulnerability (CVE-2020-3549)
• Cisco Firepower Management Center Software Denial of Service Vulnerability (CVE-2020-3499)

なお、FMCとFTD間の管理用のセキュアなトンネル(sftunnel)の脆弱性であるCVE-2020-3549は、Exploitの条件は FMCとFTD間のセキュアなトンネルを傍受しての、man-in-the-middle(中間者攻撃)の実行です。 このFMCとFTD間のトンネルが、インターネットや 第三者がアクセス可能なLANなど非セキュアな環境を経由してない場合は、悪意ある攻撃者による中間者攻撃の実行が難しく、当脆弱性が悪用されるリスクは低いです。

なお、FMCのスマートライセンスの脆弱性であるCVE-2020-3499は、Exoloitの条件はFMCが動作しているシステムへの不正なリクエスト送付です。悪意ある攻撃者からのアクセスが難しい環境にFMCシステムがある場合は、当脆弱性が悪用されるリスクは低いです。 

各脆弱性のより詳細な発生条件を知ることはできますか

セキュリティアドバイザリやバグサーチに記載以上の発生条件や対応策、エクスプロイトの情報などについては、セキュリティ上の理由もあり、原則シスコからは開示してません。また、シスコは、発見された場所や発見者に関係なく、脆弱性の情報は すべてのお客様が公平に通知を受ける必要があるという立場を堅持しており、公開している情報以上の細かな部分開示などは原則実施しておりません。影響を受けるシステムを利用時、もしくは、その影響懸念がある場合は、その保護のために 速やかなバージョンアップを検討してください。

各脆弱性のはじめて報告された時期を知ることができますか

公開しておりません。

セキュリティアドバイザリの詳しい見方や購読方法を教えてください

セキュリティアドバイザリの見方や購読方法、修正バージョンの確認方法は、以下ドキュメントを合わせ参考ください。ASA/FTDも情報の見方は大きく変わりません。

• ASA: ソフトウェア不具合と修正バージョンの確認方法

セキュリティアドバイザリに関するQ&Aは、以下ドキュメントも合わせ参考ください。

• セキュリティアドバイザリでよくある質問

セキュリティアドバイザリについてより詳しくは、以下ドキュメントも参考ください。

• Understanding Terminology in Cisco Security Advisories (英語)

参考情報

• ファイアウォール トラブルシューティング
• VPN トラブルシューティング
• Firepower System and FTDトラブルシューティング