- はじめに
- ASA/FTD 5月6日公開 脆弱性の一覧 (High以上)
- 各CVE-IDのセキュリティアドバイザリURLやCVSSスコア
- 各CVE-IDの該当条件やセキュリティインパクト
- 各脆弱性の条件や影響 一覧 (エクセルファイル版)
- 影響バージョンと修正バージョン
- ASAソフトウェア利用時
- FTDソフトウェア利用時
- よくある質問
- 5月6日公開のHigh以上の12個の脆弱性において、バージョンアップ以外の回避策はありますか
- AnyConnectを利用していますが、影響が大きいと考えてよいですか
- メモリ枯渇を引き起こす脆弱性は、どのように再起動やDoSの原因になりますか
- ASDM管理アクセスは社内からのみ許可してますが、CVE-2020-3196を悪用されるリスクは高いですか
- コネクションの使用状況や流量の確認、SNMP監視方法を教えてください
- FTDとはなんですか
- ASAとFTDの両方が影響を受ける脆弱性のある理由は何故ですか
- FTDの脆弱性なのに、バグサーチにASAの修正バージョンのみ記載があることがあるのは何故ですか
- ASAトレイン 9.5以前を利用してますが、修正バージョンはリリースされますか
- 今回の脆弱性は、AnyConnectソフトウェアは影響を受けますか
- 今回の脆弱性は、FMCは影響を受けますか
- 今回の脆弱性は、FP7000/8000シリーズは影響を受けますか
- 今回の脆弱性は、ASA5500-Xシリーズの FirePOWERモジュールは影響を受けますか
- 旧ASA5500シリーズを利用していますが、利用可能な修正バージョンはリリースされますか
- 各脆弱性のより詳細な発生条件を知ることはできますか
- 各脆弱性のはじめて報告された時期を知ることができますか
- CVE-2020-3187の 脆弱性を悪用された場合、影響をうけるファイル例を教えてください
- CVE-2020-3187は CVSSスコアが9.1なのに HIGHな理由は何故ですか
- Security Impact Rating (SIR) とは何ですか
- セキュリティアドバイザリの詳しい見方や購読方法を教えてください
- 参考情報
はじめに
本ドキュメントは、2020年5月6日に公開された、Adaptive Security Appliance (ASA) と Firepower Threat Defense (FTD) ソフトウェアの、CVSSスコア 7.0以上でHighの12個の脆弱性の補足用に作成しております。
脆弱性の影響をうけるバージョンを利用時、かつ、該当条件にマッチするソフトウェアや機能を利用時は、修正バージョンへの速やかなバージョンアップを強くお勧めします。
なお、本ドキュメントは参考に留め、最新の正確な情報は各脆弱性の英語版のセキュリティアドバイザリやバグサーチを参照するようにしてください。
- Cisco Event Response: May 2020 Cisco ASA, FMC, and FTD Software Security Advisory Bundled Publication (英語)
- Cisco Security Advisories (英語)
- セキュリティ アドバイザリ
ASA/FTD 5月6日公開 脆弱性の一覧 (High以上)
各CVE-IDのセキュリティアドバイザリURLやCVSSスコア
以下は、2020年5月6日公開のASA/FTDソフトウェアの、特に影響度の高いCVSSスコア 7.0以上でHighの各脆弱性の、CVE IDや不具合管理IDの一覧、CVSSスコア、Security Impact Rating (SIR)、セキュリティアドバイザリのURLです。
各CVE-IDの該当条件やセキュリティインパクト
以下は、各CVE IDと不具合管理ID毎の、影響を受けるソフトウェアや 主な機能の一覧と、攻撃を受けた場合の影響 (セキュリティインパクト)、及び 補足説明です。なお、脆弱性影響を受ける条件やセキュリティインパクトの詳細や最新の正確な情報は、各セキュリティアドバイザリを参照するようにしてください。
| Num | CVE ID | Bug ID | Condition (Software) |
Condition (Feature) |
Security Impact (CIA) |
日本語 補足説明 |
| 1 | CVE-2020-3187 | CSCvr55825 | ASA & FTD | - AnyConnect SSL VPN - AnyConnect IKEv2 VPN - Clientless SSL VPN |
Confidentiality, Integrity (View or delete files) |
巧妙に細工された不正なHTTPリクエストを 対象機のWeb Interfaceに送られることで、機器のWebVPNサービス関係のファイル情報が盗み見られたり 削除される可能性がある |
| 2 | CVE-2020-3259 | CSCvt15163 | ASA & FTD | - AnyConnect SSL VPN - AnyConnect IKEv2 VPN - Clientless SSL VPN |
Confidentiality (Disclosure of partial memory dumps) |
巧妙に細工された不正なGETリクエストを 対象機のWeb Interfaceに送られることで、メモリダンプの一部が得られ、機器のメモリ内の機密情報が盗み見られる可能性がある |
| 3 | CVE-2020-3196 | CSCvp49481 | ASA & FTD | - AnyConnect SSL VPN - Clientless SSL VPN - HTTP server used for management interface |
Availability (Connection Exhaustion, Memory exhaustion) |
多数の不正なSSL/TLSコネクションを確立することで、コネクションテーブルを占有し、新規SSL/TLSコネクション接続拒否や メモリ消費が引き起こされる可能性がある。膨大なコネクションが貼られた場合、コネクションをクリアすればメモリ消費は解消される |
| CSCvp93468 | ||||||
| 4 | CVE-2020-3283 | CSCvq89361 | FTD only | - AnyConnect SSL VPN - Clientless SSL VPN |
Availability (Reload) |
Firepower 1000 シリーズで FTDソフトウェアを利用時、かつ AnyConnect/Clientless SSL VPNを利用時に、巧妙に細工された不正なSSL/TLSメッセージを対象機に送付されることで、クラッシュ(再起動)が引き起こされる可能性がある。Firepower 1000 シリーズを利用してない場合、影響を受けない |
| 5 | CVE-2020-3189 | CSCvo62077 | FTD only | VPN System Logging | Availability (Memory exhaustion) |
FTD version 6.2.3.12~15 を利用時で、かつ site-to-site や リモートアクセスVPNを利用時は、デフォルトで VPN System Logging が有効化される。FTDでこれらVPN機能を利用してない場合は影響を受けない |
| 6 | CVE-2020-3191 | CSCvr07419 | ASA & FTD | DNS over IPv6 traffic | Availability (Reload) |
Routedモード(デフォルト有効)を利用時、かつ IPv6 ルーティングを利用していない場合、IPv6 DNS PacketのASA/FTD処理が発生せず、原則 影響を受けない |
| 7 | CVE-2020-3298 | CSCvs50459 | ASA & FTD | OSPF Routing | Availability (Reload) |
ASA/FTDで OSPF Routing を利用してない場合、OSPFパケットの交換が発生しないため 影響を受けない |
| 8 | CVE-2020-3195 | CSCvr92168 | ASA & FTD | OSPF Routing | Availability (Memory exhaustion) |
ASA/FTDで OSPF Routing を利用してない場合、OSPFパケットの交換が発生しないため 影響を受けない |
| 9 | CVE-2020-3254 | CSCvp16945 | ASA & FTD | Media Gateway Control Protocol (MGCP) inspection | Availability (Memory exhaustion) |
inspect mgcpはデフォルト無効のため、ASA/FTDのinspection設定をデフォルト値から変更していない場合や、inspect mgcpを有効にしてない場合は影響を受けない |
| CSCvp16949 | ||||||
| 10 | CVE-2020-3125 | CSCvq73534 | ASA only | Kerberos Authentication | Confidentiality, Integrity, Availability |
リモートアクセスVPNの認証などに ケルベロス認証を利用時、その認証がバイパスされる可能性のある不具合。中間者攻撃の脆弱性のため、攻撃を成功させるには、Kerberos key distribution center (KDC) と ASA間の通信の Spoofing (なりすまし) が必要。 ケルベロス認証(デフォルト無効)を利用していなければ影響を受けない |
| 11 | CVE-2020-3255 | CSCvo80853 | FTD only | Access Control Policy | Availability (Memory exhaustion) |
ハイレートなIPv4/IPv6トラフィックをFTDの Access Control Policy (ACP) でブロック時にメモリ消費の増大が発生する可能性がある。ハイレートなトラフィックが止まればメモリ消費は解消される |
| 12 | CVE-2020-3179 | CSCvq78828 | FTD only | GRE tunnel decapsulation in Prefilter | Availability (Reload) |
FTDで Prefilterの GRE Encapsulation (デフォルト無効)を利用してない場合は、影響を受けない |
各脆弱性の条件や影響 一覧 (エクセルファイル版)
以下リンクをクリックしプレビューや、当ドキュメント下部のダウンロードリンクからダウンロード可能です。参考用としてご利用ください。
影響バージョンと修正バージョン
脆弱性の修正バージョンのリリーズ"以前"のバージョンを利用時は、脆弱性の影響を受けるバージョンを利用している可能性が高まります。ASAソフトウェアで 全脆弱性の修正済みバージョンのリリース開始は2020年3月以降です。FTDソフトウェアで 全脆弱性の修正済みバージョンのリリース開始は2020年5月以降です。
修正を含まないバージョンを使用時、かつ、各CVE-IDの該当条件やセキュリティインパクト 表の Condition (該当条件) にマッチする場合、脆弱性の影響を受ける可能性が高いです。なお、バージョンや該当条件がマッチするかどうかの最終的な確認は、各脆弱性の最新の英語版のセキュリティアドバイザリやバグサーチを確認し、判断するようにしてください。バージョンが該当してるかどうかのセキュリティアドバイザリやバグサーチの確認方法について詳しくは、ASA: ソフトウェア不具合と修正バージョンの確認方法 を参照してください。
脆弱性の影響を受ける場合は、速やかな修正バージョンへのバージョンアップを強くお勧めします。
ASAソフトウェア利用時
以下はASAソフトウェアの各トレインの修正バージョン一覧です。なお、修正バージョン以前のバージョンを利用時は、脆弱性の影響を受けるバージョンを利用している可能性が高いです。
また、修正バージョンへのバージョンアップを検討時は、基本的に各トレインの修正を含む "より最新"のバージョンを利用するようにしてください。例えば、9.12トレインで、9.12(3)9と 9.12(3)12が公開されている場合、どちらも各脆弱性の修正を含みますが、9.12(3)12のほうが より不具合の修正されたバージョンです。
また、2桁目が奇数のトレイン(例:9.5や9.7、9.13)は短期サポート対象のリリースとなり、1つ上の偶数トレイン(例: 9.6や 9.8、9.12、9.14)が長期サポート対象の安定リリースとなり、奇数トレインの修正も引き継がれます。なお、9.10は特殊リリースとなりサポートは短期間で終わります。トレイン選定について詳しくは、ASA9.5(1)以降: トレイン別のサポートモデルの違いについて を参照してください。
| ASAトレイン | 修正バージョン | 修正バージョン 初リリース (2020年5月11日時点) |
| 9.5以前 |
修正バージョンリリース済み トレインにアップグレードが必要。9.12 もしくは 9.8 が、サポート期間も十分長く 安定したバージョン |
- |
| 9.6 | 9.6.4.41 or later (※注1) | 2020年5月 リリース済み |
| 9.7 |
修正バージョンリリース済み トレインにアップグレードが必要 |
- |
| 9.8 | 9.8.4.20 or later | 2020年4月 リリース済み |
| 9.9 | 9.9.2.67 or later | 2020年4月 リリース済み |
| 9.10 | 9.10.1.40 or later | 2020年5月 リリース済み |
| 9.11 | (廃版) | - |
| 9.12 | 9.12.3.9 or later | 2020年3月 リリース済み |
| 9.13 | 9.13.1.10 or later | 2020年4月 リリース済み |
| 9.14 | 脆弱性の影響を受けない | - |
注1: ケルベロス認証の脆弱性であるCSCvq73534のみは 9.6トレインでは修正バージョンはリリースされないため、ケルベロス認証を利用時は 9.8トレイン以降を利用すること
Note:
- ASA 9.5トレイン以前は、End of SW Maintenance Releases Date を迎えているため、修正バージョンリリースなし
- ソフトウェアの選定方法や、ASDMを利用した ASAソフトウェアのバージョンアップ方法は、ASA: ASDMを用いた、同じトレイン内の 最新バージョンへのアップグレード方法 などを参考
- 冗長構成での ASAソフトウェアのバージョンアップ方法は ASA: Active/Standby冗長構成のCLIでのアップグレード方法
などを参考 - FPR4100/9300シリーズ利用時は、ASAバージョンアップ先に応じて、Cisco Firepower 4100/9300 FXOS Compatibility を参照しFXOSバージョンの互換性の確認と、適宜FXOSの事前バージョンアップを実施すること
- FPR1000/2100シリーズを利用時は、ASAバージョンアップで 自動的に互換性のあるFXOSバージョンが利用されるため、FXOSとASAの互換性を考慮する必要はない
FTDソフトウェア利用時
以下はFTDソフトウェアの各トレインの修正バージョン一覧です。なお、修正バージョン以前のバージョンを利用時は、脆弱性の影響を受けるバージョンを利用している可能性が高いです。
また、修正バージョンへのバージョンアップを検討時は、基本的に各トレインの修正を含む "より最新"のバージョンを利用するようにしてください。例えば、6.4トレインで、6.4.0.9と 6.4.0.10 が公開されている場合、どちらも各脆弱性の修正を含みますが、6.4.0.10 のほうが より不具合の修正されたバージョンです。
また、2桁目が奇数のトレイン(例:6.3や6.5)は短期サポート対象のリリースとなり、1つ上の偶数トレイン(例: 6.4や6.6)が長期サポート対象となり、奇数トレインの修正も引き継がれます。
Firepower System をご利用の全てのお客様に、シスコは 6.4.0以降の利用を 強くお勧めしております。6.4 もしくは 6.6系が長期サポート対象の安定リリースです。トレイン選定について詳しくは、ASA9.5(1)以降: トレイン別のサポートモデルの違いについて の よくある質問「FTDにも長期と短期サポート対象の違いはありますか」を参照してください。
| FTDトレイン | 修正バージョン | 修正バージョン 初リリース (2020年5月11日時点) |
| 6.2.2以前 | 6.2.3系 もしくは 6.4系の修正バージョンにアップグレード | - |
| 6.2.3 |
6.2.3.16 or later もしくは 6.4系の修正バージョンにアップグレード (推奨) |
2020年7月 リリース予定 |
| 6.3 |
6.3.0.6 or later もしくは 6.4系の修正バージョンにアップグレード (推奨) |
6.3.0.6は 2020年6月 リリース予定 |
| 6.4 | 6.4.0.9 or later | 2020年5月 リリース済み |
| 6.5 |
6.5.0.5 or later もしくは 6.6系にアップグレード (推奨) |
6.5.0.5は 2020年7月 リリース予定 |
| 6.6 | 脆弱性の影響を受けない | - |
Note:
- FMCで管理しているFTDをバージョンアップする場合、事前にFMCを同じバージョンか よりも高いバージョンに 事前バージョンアップが必要
- 修正バージョン未リリースの場合、対応するHotfixがリリースされているため、Hotfix適用の検討を
- Firepower SystemのパッチやHotfix適用手順は、Firepower System: FMCと 管理deviceの パッチ 簡易アップデート手順を参照
- FPR4100/9300シリーズ利用時は、FTDバージョンアップ先に応じて、Cisco Firepower 4100/9300 FXOS Compatibility を参照しFXOSバージョンの互換性の確認と、適宜FXOSの事前バージョンアップを実施すること
- FPR1000/2100シリーズを利用時は、FTDバージョンアップで 自動的に互換性のあるFXOSバージョンが利用されるため、FXOSとFTDの互換性を考慮する必要はない
よくある質問
5月6日公開のHigh以上の12個の脆弱性において、バージョンアップ以外の回避策はありますか
影響を受けるソフトウェアや製品、かつ機能を利用時は、その機能の利用停止以外に回避策はありません。修正を含むバージョンへの速やかなバージョンアップを強くお勧めいたします。
AnyConnectを利用していますが、影響が大きいと考えてよいですか
はい、Confidentialityに影響を与える脆弱性(CVE-2020-3187とCVE-2020-3259)など、複数の脆弱性の影響を受ける可能性があります。未修正バージョンを利用時は、速やかな修正バージョンへのバージョンアップを強くお勧めいたします。AnyConnect機能や製品の利用を継続している場合、Workaround(回避策)は御座いません。
メモリ枯渇を引き起こす脆弱性は、どのように再起動やDoSの原因になりますか
ASAやFTDのメモリが大きく枯渇すると、アプリケーションがメモリを利用できないことによる、予期せぬ再起動や サービス継続妨害 (DoS) の原因となります。
ASA利用時は、ASAのメモリ使用状況は show memory コマンドで確認できます。メモリ使用率が80%以上で かつ継続して使用率があがる場合は、何らかのメモリ枯渇の不具合の影響や攻撃を受けている可能性があがります。SNMPポーリングを用いたメモリ使用状況の監視方法は以下ドキュメントを参考にしてください。
FTDを利用時は、ASA(LINAエンジン)のメモリ使用状況は、GUI もしくは CLI から show memory コマンドで確認できます。GUI からの確認方法は、FMC: FTD: LINA(ASA)エンジンCLIの GUIからの確認や パケットキャプチャ方法 を参考にしてください。CLIからの確認方法は、FTD CLIで "system support diagnostic-cli"コマンドを実行することで、ASA (LINAエンジン) にアクセスし、ASAの show系のコマンドラインを実行できます。なお、FTDの ASA(LINAエンジン)からの設定変更などはできず、FTDの設定変更は全てGUIから実施必要であることに注意してください。FTDの ASA(LINAエンジン)のSNMPメモリ監視は、ASAと同じOIDを利用できます。
ASDM管理アクセスは社内からのみ許可してますが、CVE-2020-3196を悪用されるリスクは高いですか
CVE-2020-3196 (CSCvp49481/CSCvp93468)は 不正なSSL/TLSコネクションを多数確立されることにより発生する問題です。そのため、当脆弱性を悪用するには、悪意ある端末から管理インターフェイスへの疎通性が必要です。例えば、ASDMの管理アクセスを外部(インターネット等)に公開しておらず、管理された社内セグメントからのみしか許可していない場合は、当脆弱性を悪用されるリスクは低いです。
なお、インターネットからのAnyConnectのリモートアクセスVPN(SSL/TLS)の終端をASAやFTDで行っている場合、かつ、修正バージョンをまだ適用してない場合、CVE-2020-3196 の影響を受けます。
また、仮に当脆弱性を悪用された場合、ASA宛のコネクション数の増大がみられます。コネクション数の確認や削除方法は ASA: コネクション数の確認と 膨大なコネクション発生時のIPアドレス確認方法 を確認してください。ASA宛の膨大なコネクションが不正に張られた場合は、IPアドレスを指定してのクリアなど実施することで、コネクションは削除し、一時的にですが問題解決可能です。なお、抜本的な対応は、当脆弱性の修正を含むバージョンへのバージョンアップが必要になります。
コネクションの使用状況や流量の確認、SNMP監視方法を教えてください
コネクションの使用状況は show conn count コマンドで確認できます。コネクション使用状況のSNMP監視には、OID 1.3.6.1.4.1.9.9.147.1.2.2.2.1. が利用できます。コネクションの流量は show perfmon コマンドで確認できます。
コネクション処理状況の細かな確認や監視、膨大なコネクションを貼るIPアドレスの確認方法などについて詳しくは、以下ドキュメントを参考にしてください。
FTDとはなんですか
Firepower Threat Defense の略で、従来のASAソフトウェアと、主にL7のアプリケーションやIPS制御を行うFirePOWERソフトウェアを統合した、次世代ファイアウォールソフトウェアです。ASAの主な機能に加え、アプリケーション制御やIPS制御、URLフィルタリング、アンチマルウェアなどの高度機能に対応します。Firepower1000/2100/4100/9300シリーズや ASA5500-Xシリーズを利用時は、搭載OSを ASA もしくは FTD のいずれかを選ぶことが可能です。なお、ASA5500-Xシリーズの場合 FTDの利用には、追加のハードウェアが必要になることがあります。また、FTDの利用機能によっては、サブスクリプションライセンスの追加購入が必要です。
ASAとFTDの比較についてより詳しくは、以下のオンラインセミナーの資料を参照ください。なお、オンラインセミナー資料の閲覧にはサービス契約に紐づいたCCOアカウントが必要です。
ASAとFTDの両方が影響を受ける脆弱性のある理由は何故ですか
FTD内部には 主にL3/L4やリモートアクセスVPNなどの処理用に ASAソフトウェア(=LINAエンジン)が稼働しています。ASAの脆弱性の場合、そのOS/機能を利用するFTDも同様に影響を受けることが多いです。
FTDの脆弱性なのに、バグサーチにASAの修正バージョンのみ記載があることがあるのは何故ですか
FTDは、主にL3/L4処理に特化したASAソフトウェアと、L7処理に特化したFirePOWERソフトウェアが統合されてます。FTD内部には 主にL3/L4処理用にASA(=LINAエンジン)が稼働しているため、内部ASAバージョンのバージョンアップには、FTDの脆弱性/不具合対応が可能です。
なお、FTD内部のASA(=LINAエンジン)のみのアップグレードはできないため、FTDの内部ソフトウェアのASA(LINAエンジン)のバージョンアップには、FTDソフトウェアのバージョンアップや Hotfix適用が必要となります。
どのFTDソフトウェアが どの内部ASAバージョンを利用しているかは、以下ドキュメントの「Table 21. Bundled Components」が参考になります。
利用中のFTDにバンドルされた Adaptive Security Appliance (ASA) ソフトウェアバージョンは、"system support diagnostic-cli"コマンドでASA(LINAエンジン)にログイン後、show version コマンドで確認できます。
> system support diagnostic-cli Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach. Type help or '?' for a list of available commands. firepower> show version -------------------[ firepower ]-------------------- Model : Cisco Firepower 4140 Threat Defense (76) Version 6.4.0.7 (Build 53) UUID : 00b373f4-40d5-11ea-98b5-de301c0eda17 Rules update version : 2020-05-06-001-vrt VDB version : 333 ---------------------------------------------------- Cisco Adaptive Security Appliance Software Version 9.12(2)151 <--- THIS Firepower Extensible Operating System Version 2.8(1.80) Compiled on Wed 04-Dec-19 18:44 PST by builders System image file is "disk0:/fxos-lfbff-k8.2.8.1.80.SPA" Config file at boot was "startup-config"
もしくは、そのASA(LINAエンジン)の修正バージョンを搭載した 修正済みFTDバージョンは、セキュリティアドバイザリで確認できます。
ASAトレイン 9.5以前を利用してますが、修正バージョンはリリースされますか
ASA 9.5以前は既に ソフトウェアメンテナンス終了日 (End of SW Maintenance) を迎えているため、原則修正バージョンはリリースされません。 ASA 9.5以前のASAバージョンを利用しており、アップグレード可能な場合は、ASA 9.8や ASA 9.12の最新Interimバージョンにアップグレードなどを検討してください。2桁目(マイナーバージョン)が偶数のトレイン(※9.10は除く)は、長期メンテナンス対象の安定バージョンとなります。(例: 9.6.x, 9.8.x, 9.12.x, 9.14.x)
各トレインのソフトウェアメンテナンス終了日 (End of SW Maintenance) は以下ドキュメントなどで確認できます。記載のないトレインは、まだソフトウェアメンテナンス終了日はアナウンスされてません。
今回の脆弱性は、AnyConnectソフトウェアは影響を受けますか
AnyConnect ソフトウェアは影響を受けません。今回の脆弱性の影響を受ける可能性があるのは、ASAソフトウェア もしくは FTDソフトウェアのみです。
今回の脆弱性は、FMCは影響を受けますか
Firepower Systemの管理マネージャであるFMCは当脆弱性の直接の影響を受けません。しかし、FMCのバージョンは 管理デバイス(FTDなど)と同じか それ以上である必要があります。そのため、FMC管理のFTDで脆弱性対応のためのバージョンアップを行う場合は、FMCも事前のバージョンアップが必要です。FMCのバージョンアップ後に、FTDのバージョンアップを実施してください。
今回の脆弱性は、FP7000/8000シリーズは影響を受けますか
Firepower 7000/8000 シリーズは、ASA や FTD ソフトウェアは動作しないため、今回の脆弱性の影響は受けません。
今回の脆弱性は、ASA5500-Xシリーズの FirePOWERモジュールは影響を受けますか
ASA with FirePOWER シリーズを利用の場合、FirePOWER モジュール自体は 今回の脆弱性の影響は受けません。なお、FirePOWERモジュールを搭載する ASAソフトウェア側は、利用バージョンや機能によっては、ASAの脆弱性の影響を受ける可能性があります。
旧ASA5500シリーズを利用していますが、利用可能な修正バージョンはリリースされますか
ASA5500シリーズ(=ASA5505やASA5510/5520/5540/5550/5580)を利用時、利用可能なトレインは 9.1 もしくは 9.2 までとなり、両トレインとも End of SW Maintenance Releases Date:OS SW を 2018年8月に迎えており、以降の新規のソフトウェア修正バージョンのリリースは終了しております。詳しくは、以下のノーティスをご確認ください。
https://www.cisco.com/c/en/us/products/collateral/security/asa-firepower-services/eos-eol-notice-c51-738645.html
https://www.cisco.com/c/en/us/products/collateral/security/asa-firepower-services/eos-eol-notice-c51-738647.html
既にソフトウェアメンテナンスの終了した製品では、今回の脆弱性に限らず、End of SW Maintenance Releases Date:OS SW 以降に発見された不具合や脆弱性の影響調査や修正と その修正適用が困難です。影響を受ける機能を利用時や、インターネットに接続機器など 脅威にさらされる環境での、ソフトウェメンテナンスの終了した製品の利用継続は 特にリスクが高いです。ソフトウェアメンテナンスサポートの終了の近い製品、もしくは 終了した製品は、ソフトウェアメンテナンス中の後継製品などへの 速やかなマイグレーションやアップグレードを検討してください。
各脆弱性のより詳細な発生条件を知ることはできますか
セキュリティアドバイザリやバグサーチに記載以上の発生条件や対応策、エクスプロイトの情報などについては、セキュリティ上の理由もあり、原則シスコからは開示してません。また、シスコは、発見された場所や発見者に関係なく、脆弱性の情報は すべてのお客様が公平に通知を受ける必要があるという立場を堅持しており、公開している情報以上の細かな部分開示などは原則実施しておりません。影響を受けるシステムを利用時、もしくは、その影響懸念がある場合は、その保護のために 速やかなバージョンアップを検討してください。
各脆弱性のはじめて報告された時期を知ることができますか
公開しておりません。
CVE-2020-3187の 脆弱性を悪用された場合、影響をうけるファイル例を教えてください
影響を受ける可能性のあるファイルは CVE-2020-3187のセキュリティアドバイザリの Details に記載にある通りとなり、WebVPNサービス関係のファイルが影響を受ける可能性があります。例えば、WebVPN設定ファイルや (Clientless VPN利用時に用いられる) ブックマークなどのファイルが覗き見られたり 削除される可能性があります。
CVE-2020-3187は CVSSスコアが9.1なのに HIGHな理由は何故ですか
覗き見られたり 削除されるファイルは WebVPNサービス関係に限られており、削除されたファイルも機器を再起動すれば復元されるため、Security Impact Rating (SIR) の Rating は、Critical から High に下げられています。
Security Impact Rating (SIR) とは何ですか
CVSSスコアを基本に その脆弱性のインパクトを、Critical、High、Medium、Lowの4段階で評価します。
時折、Cisco PSIRTが その脆弱性の影響度を評価し、CVSSスコアよりも高いSIR、もしくは 低いSIRを割り当てることがあります。例えば、Exploitの容易さや、影響をうける範囲が広い時に、CVSSスコアよりも高いSIRになることがあります。
SIRについてより詳しくは、以下ドキュメントの"Reading and Understanding Sections of a Security Advisory"項を参照してください。
セキュリティアドバイザリの詳しい見方や購読方法を教えてください
セキュリティアドバイザリの見方や購読方法、修正バージョンの確認方法は、以下ドキュメントを合わせ参考ください。ASA/FTDも情報の見方は大きく変わりません。
セキュリティアドバイザリに関するQ&Aは、以下ドキュメントも合わせ参考ください。
セキュリティアドバイザリについてより詳しくは、以下ドキュメントも参考ください。
参考情報
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
