購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
2580
閲覧回数
0
いいね!
3
返信

AnyConnectの脆弱性情報について(2018/6/6発表)

解決策を見る
athirano1
Level 1
Level 1

‎2018-06-13 11:51 AM ‎2019-03-22 07:36 AM 更新

こんにちは

ASA5545X + ASAOS 9.6系 + AnyConnect 4.5系で、エンドユーザにSSL-VPNサービスを提供しています。
クライアント機器は、Win7, Win8, Win10のPCです。


2018/6/6付でAnyConnectに関する脆弱性情報が発表されました。
・タイトル:Cisco AnyConnect Secure Mobility Client Certificate Bypass Vulnerability
・URL:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180606-AnyConnect-cert-bypass
・重大度(深刻度):Medium
・Cisco BUG ID:CSCvh23141
・Fixされたソフトのバージョン情報
    https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvh23141には
  "4.6 contain the fix."と記載がありますが、今後、文書の更新があるかもしれません。

・証明書のチェックに不完全なところがあるという脆弱性情報のようです。


脆弱性を突かれた時の危険性として、以下の記載があります。
--抜粋--
A successful exploit could allow the attacker to remotely change the configuration profile,
a certificate, or the localization data used by AnyConnect Secure Mobility Client.
---------

対応方法についての質問があります。
・ASA側に配置するClient packageを、対応済みのものに置き換えればよいでしょうか?
・クライアント側のAnyConnectはVer.Upしなくてもよいのでしょうか?

現在、Deferral Updateの機能を有効にして、AnyConnectのバージョンが(クライアント側)<(ASA側)であっても
クライアント側のAnyConnectのバージョンをVer.Upしないようにしています。
理由としては、クライアントPCの台数が多い、遠隔地にありサポートができない場合がある、
クライアントPCの状態によっては、Deferral Updateに失敗してAnyConnectが使用できなくなる可能性があるためです。
そのため、可能であればクライアントPC側のAnyConnectのVer.Upは避けたいと考えております。(現在はVer.4.5.02033)

よろしくお願いします。

0 いいね!
2 件の受理された解決策

受理された解決策

解決策を見る
aktosa
Cisco Employee
Cisco Employee

‎2018-06-13 04:37 PM

この脆弱性は、AnyConnect側の問題ですので、クライアント上のソフトウェアを修正が適用されているものにアップグレード頂く必要があります。(ASA上のPKGファイルだけ修正版に変更したとしても、本脆弱性の対策にはなりません)

Deferred updateを有効にされているということですので、クライアント側で個別にアップデートを実行して頂く必要があります。

 

修正バージョンについては、不具合情報に記載があります通り、4.6の公開バージョンが対象となります。

4.5については4.6がリリースされた時点でメンテナンスは終了しておりますので、4.6へのアップグレードをご検討ください。

元の投稿で解決策を見る

0 いいね!

解決策を見る
aktosa
Cisco Employee
Cisco Employee
athirano1に対する応答

‎2018-06-14 04:01 PM

攻撃手法の特定につながる可能性がありますので、ご質問の内容についてはお答えできません。

脆弱性に関わる内容については公開可能な情報は厳しく制限されており、基本的にSecurity Advisoryに記載されている内容以外は公開不可となりますので、ご理解いただけますと幸いです。

元の投稿で解決策を見る

0 いいね!
3件の返信3

解決策を見る
aktosa
Cisco Employee
Cisco Employee

‎2018-06-13 04:37 PM

この脆弱性は、AnyConnect側の問題ですので、クライアント上のソフトウェアを修正が適用されているものにアップグレード頂く必要があります。(ASA上のPKGファイルだけ修正版に変更したとしても、本脆弱性の対策にはなりません)

Deferred updateを有効にされているということですので、クライアント側で個別にアップデートを実行して頂く必要があります。

 

修正バージョンについては、不具合情報に記載があります通り、4.6の公開バージョンが対象となります。

4.5については4.6がリリースされた時点でメンテナンスは終了しておりますので、4.6へのアップグレードをご検討ください。

0 いいね!

解決策を見る
athirano1
Level 1
Level 1
aktosaに対する応答

‎2018-06-14 12:15 PM

aktosa様
お世話になっております。athirano1です。

ご回答ありがとうございます。
追加の質問/確認させてください。

AnyConnect(クライアント上のソフトウェア)の問題とのことですが、
脆弱性を突かれるシナリオとしては、どのようなものが考えられますでしょうか?


脆弱性情報には
An attacker could exploit this vulnerability by preparing malicious profile and localization files for Cisco AnyConnect to use.とあります。
これは、攻撃者は用意したmalicious profile や malicious localization filesをあらかじめAnyConnectのサーバー(ASA側)に配置するという前提でしょうか。
あるいは、攻撃者はクライアントPCに侵入して、malicious profile や malicious localization filesを配置するという前提でしょうか。(これは違うような気がしますが)

よろしくお願いします。

0 いいね!

解決策を見る
aktosa
Cisco Employee
Cisco Employee
athirano1に対する応答

‎2018-06-14 04:01 PM

攻撃手法の特定につながる可能性がありますので、ご質問の内容についてはお答えできません。

脆弱性に関わる内容については公開可能な情報は厳しく制限されており、基本的にSecurity Advisoryに記載されている内容以外は公開不可となりますので、ご理解いただけますと幸いです。

0 いいね!
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents