はじめに

Firepower製品のSecurity Intelligence機能におけるFeedダウンロードのHTTPS通信で使用されるサーバ証明書が2022年3月6日に更新されました。それに伴い該当サーバ証明書のCA（認証局）が変更され、対象のFirepowerのソフトウェアではFeedダウンロードが出来なくなりました。その対応としてField Notice (FN - 72332)が発行されました。

本記事はFN - 72332の日本語による解説記事であり、特に日本のパートナー様・お客様からよく受けるご質問に関して補足する記事となります。基本はFN - 72332に記載の内容に沿った内容としておりますが、万が一齟齬が発生する場合は、FN - 72332に記載されている内容が正となりますので、本記事と合わせてFN - 72332をご確認いただきますようお願いいたします。

また、本記事とは別に、日本以外のお客様から頂いているFN - 72332のFAQが、以下に英語の記事として公開されておりますので、こちらもご参考にしていただけたらと思います。

Frequently Asked Questions for Firepower FN # 72332

影響

• 対象バージョンのFirepower製品をご使用のお客様は、2022年3月6日以降のhttps://intelligence.sourcefire.com のサーバ証明書更新以降、TALOSが提供するFeed（セキュリティ侵害の恐れがあるカテゴリ毎のIPアドレス、URL、DNSサーバのリスト）が更新不能となり、Security Intelligenceの優位性を発揮出来なくなります。
• 対象となるFirepower製品のバージョンについては、FN - 72332をご確認ください。2022年3月時点でリリースされているほぼ全てのFirepowerのソフトウェアバージョンが対象となります。
• SRU、VDB、GeoDBのアップデートに関しては本FNの影響を受けません。
• ASA Software単体では本FNの影響を受けません。ただしFirepower Moduleを使用する場合は影響を受けます。
• 本FNで説明しているサーバ証明書は FN 72103 で言及しているQuoVadisのCAは使用していないため、QuoVadisのRoot CAの利用停止に伴う影響は受けません。

対応方法

影響を受けるバージョンのFirepowerソフトウェアの対応は修正バージョンへのバージョンアップのみとなります。
よくあるお問い合わせとして「手動でのCA証明書適用は可能か」とお問い合わせをいただいておりますが、直近で発行された別のField Notice(FN - 72103)とは異なり、手動でのCA証明書更新は不可能となります。その他もFirepowerソフトウェアそれぞれのGUI/CLIからのCA証明書登録やコマンド実行による対応方法は現時点では存在しません。

繰り返しになりますが、バージョンアップのみでの対応となります。

修正バージョンは、FN - 72332 に記載されておりますのでご確認ください。

また、Firepowerの導入方法によって対応が異なりますので以下ご確認ください。

影響を受ける設定・受けない設定

Policy -> Access Control Policyにてポリシーを開き、のSecurity Intelligenceタブにて、WhitelistもしくはBlacklistにAttackers、CnC、BotなどのTALOSから提供されるFeedを追加している場合には本FNの影響を受け、最新の情報が反映出来なくなります。

以下、例を示します。

Security Intelligenceがデフォルト設定のままであれば、TALOSのFeedを参照しないため、本Field Noticeの影響は受けません。以下の通り(当方のテスト環境のFMC 6.6.5においては）Global Whitelist / Blacklistが設定されておりますが、こちらはお客様によって追加されるリストであり、TALOSのFeedを参照しないため、影響は受けません。

また、DNSについてもデフォルト設定では影響を受けず、DNS AttackersなどのFeedをRuleに追加している場合に影響を受けます。

最後に、本件はTALOS Security Intelligence Feedが対象であり、TIDのFeedについては影響を受けません。

TALOS Security Intelligence Feedのダウンロード動作

TALOS Feedのダウンロード設定の動作については、FMCのObjects -> Object ManagementのSecurity Intelligenceの項目よりご確認いただけます。

デフォルトではTALOS Feed (Cisco Security Intelligence)は2時間毎にサーバへアップデートを要求します。

事象発生の確認

本事象が発生した場合、以下のいずれかの方法で2022年3月6日以降、Cisco Intelligence Feedのダウンロードが失敗していることが確認出来ます。また、メッセージについてはバージョンによってやや異なる表示となることが確認出来ております。以下はFMC 6.6.5での確認結果となりますのでご注意ください。また、仮に以下の方法で事象が確認出来なかったとしても、本件の事象については対象バージョンの場合、必ず発生しますため、該当機能を使用している場合についてはバージョンアップを進めていただきますようお願いいたします。
最後に、これらのエラーメッセージは本事象に限らないFeedダウンロードのURLにアクセス出来ない場合にも同様に発生しますため、FN - 72332への合致という観点ではFeedの更新日時についてご確認いただきますようお願いいたします。

• FMCのObjects -> Object ManagementのSecurity Intelligence -> DNS Lists and Feeds / Network List and Feedsのそれぞれより、FeedのLast Updatedが2022-03-06を最後に更新されていないことを確認（TIDは対象外となります。）
  
• System -> Health -> Health Eventより、Searchを実行し、"Security"と入力するとSecurity Intelligence関連のEventが確認でき、設定された時間毎（デフォルトは2時間）に、Cisco Intelligence FeedとCisco-DNS-and-URL-Intelligence-Feedのダウンロードが失敗していることを確認。なお、Security Intelligenceのプロセス自体は正常に動作しているため、Health Monitorからでは問題を確認できないケースがありますため、Eventからご確認ください。
  
• FMC上で以下のようなMessageが現れる。
  

エラーメッセージ / Feedダウンロードそのものを停止したい場合

Security IntelligenceはFMC上でデフォルトで定期的にFeedを取得するため、上記のエラーメッセージは出続けることになります。Security Intelligenceを使用していない場合に限ってになりますが、Error Messageを停止させる場合は、Objects -> Object ManagementのSecurity Intelligence -> DNS List and Feeds / Network Lists and Feedsそれぞれより、FeedのUpdate Frequency:をDisableにすることでError Messageを止めることは可能です。しかしながら、Feedのダウンロード自体が停止することになりますため、現在だけでなく、今後も使用しない前提の場合にのみ設定するようお願いいたします。

参考資料

Field Notice: FN - 72332 - Firepower Software: Cisco Talos Security Intelligence Updates Might Fail After March 5, 2022 - Software Upgrade Recommended

Frequently Asked Questions for Firepower FN # 72332

Firepower Management Center Configuration Guide, Version 6.6 Chapter: Blocking Traffic with Security Intelligence

Field Notice: FN - 72103 - ASA, FXOS and Firepower Software: QuoVadis Root CA 2 Decommission Might Affect Smart Licensing, Smart Call Home, And Other Functionality - Software Upgrade Recommended