2018-06-13 11:51 AM 2019-03-22 07:36 AM 更新
こんにちは
ASA5545X + ASAOS 9.6系 + AnyConnect 4.5系で、エンドユーザにSSL-VPNサービスを提供しています。
クライアント機器は、Win7, Win8, Win10のPCです。
2018/6/6付でAnyConnectに関する脆弱性情報が発表されました。
・タイトル:Cisco AnyConnect Secure Mobility Client Certificate Bypass Vulnerability
・URL:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180606-AnyConnect-cert-bypass
・重大度(深刻度):Medium
・Cisco BUG ID:CSCvh23141
・Fixされたソフトのバージョン情報
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvh23141には
"4.6 contain the fix."と記載がありますが、今後、文書の更新があるかもしれません。
・証明書のチェックに不完全なところがあるという脆弱性情報のようです。
脆弱性を突かれた時の危険性として、以下の記載があります。
--抜粋--
A successful exploit could allow the attacker to remotely change the configuration profile,
a certificate, or the localization data used by AnyConnect Secure Mobility Client.
---------
対応方法についての質問があります。
・ASA側に配置するClient packageを、対応済みのものに置き換えればよいでしょうか?
・クライアント側のAnyConnectはVer.Upしなくてもよいのでしょうか?
現在、Deferral Updateの機能を有効にして、AnyConnectのバージョンが(クライアント側)<(ASA側)であっても
クライアント側のAnyConnectのバージョンをVer.Upしないようにしています。
理由としては、クライアントPCの台数が多い、遠隔地にありサポートができない場合がある、
クライアントPCの状態によっては、Deferral Updateに失敗してAnyConnectが使用できなくなる可能性があるためです。
そのため、可能であればクライアントPC側のAnyConnectのVer.Upは避けたいと考えております。(現在はVer.4.5.02033)
よろしくお願いします。
解決済! 解決策の投稿を見る。
2018-06-13 04:37 PM
この脆弱性は、AnyConnect側の問題ですので、クライアント上のソフトウェアを修正が適用されているものにアップグレード頂く必要があります。(ASA上のPKGファイルだけ修正版に変更したとしても、本脆弱性の対策にはなりません)
Deferred updateを有効にされているということですので、クライアント側で個別にアップデートを実行して頂く必要があります。
修正バージョンについては、不具合情報に記載があります通り、4.6の公開バージョンが対象となります。
4.5については4.6がリリースされた時点でメンテナンスは終了しておりますので、4.6へのアップグレードをご検討ください。
2018-06-14 04:01 PM
攻撃手法の特定につながる可能性がありますので、ご質問の内容についてはお答えできません。
脆弱性に関わる内容については公開可能な情報は厳しく制限されており、基本的にSecurity Advisoryに記載されている内容以外は公開不可となりますので、ご理解いただけますと幸いです。
2018-06-13 04:37 PM
この脆弱性は、AnyConnect側の問題ですので、クライアント上のソフトウェアを修正が適用されているものにアップグレード頂く必要があります。(ASA上のPKGファイルだけ修正版に変更したとしても、本脆弱性の対策にはなりません)
Deferred updateを有効にされているということですので、クライアント側で個別にアップデートを実行して頂く必要があります。
修正バージョンについては、不具合情報に記載があります通り、4.6の公開バージョンが対象となります。
4.5については4.6がリリースされた時点でメンテナンスは終了しておりますので、4.6へのアップグレードをご検討ください。
2018-06-14 12:15 PM
aktosa様
お世話になっております。athirano1です。
ご回答ありがとうございます。
追加の質問/確認させてください。
AnyConnect(クライアント上のソフトウェア)の問題とのことですが、
脆弱性を突かれるシナリオとしては、どのようなものが考えられますでしょうか?
脆弱性情報には
An attacker could exploit this vulnerability by preparing malicious profile and localization files for Cisco AnyConnect to use.とあります。
これは、攻撃者は用意したmalicious profile や malicious localization filesをあらかじめAnyConnectのサーバー(ASA側)に配置するという前提でしょうか。
あるいは、攻撃者はクライアントPCに侵入して、malicious profile や malicious localization filesを配置するという前提でしょうか。(これは違うような気がしますが)
よろしくお願いします。
2018-06-14 04:01 PM
攻撃手法の特定につながる可能性がありますので、ご質問の内容についてはお答えできません。
脆弱性に関わる内容については公開可能な情報は厳しく制限されており、基本的にSecurity Advisoryに記載されている内容以外は公開不可となりますので、ご理解いただけますと幸いです。
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド