【活用ガイド】

JVNDB-2016-001382

Cisco Adaptive Security Appliance (ASA) の IKEv1 と IKEv2 の処理にバッファオーバーフローの脆弱性

概要

Cisco Adaptive Security Appliance (ASA) の Internet Key Exchange version 1 および 2 (IKEv1, IKEv2) にはバッファオーバーフローの脆弱性が存在します。脆弱性を悪用することで、攻撃者は遠隔からコードを実行することが可能です。

バッファオーバーフロー (CWE-119) - CVE-2016-1287 Exodus Intelligence のアドバイザリには次のように記載されています:

 "The algorithm for re-assembling IKE payloads fragmented with the Cisco fragmentation protocol contains a bounds-checking flaw that allows a heap buffer to be overflowed with attacker-controlled data. A sequence of payloads with carefully chosen parameters causes a buffer of insufficient size to be allocated in the heap which is then overflowed when fragment payloads are copied into the buffer. Attackers can use this vulnerability to execute arbitrary code on affected devices.
(Cisco fragmentation protocol によって分割された IKE ペイロードを再結合するアルゴリズムには、境界チェックの処理に欠陥があり、ヒープ上のバッファを攻撃者が制御可能なデータでオーバーフローさせることが可能です。パラメータが細工されたペイロード列が与えられると、ヒープメモリ上に想定より小さいバッファが確保され、ペイロードがバッファにコピーされる際にオーバーフローが発生します。攻撃者はこの脆弱性を悪用することで、影響を受ける機器上で任意のコードを実行することができます。)"

CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer
http://cwe.mitre.org/data/definitions/119.html

IKEv1 および IKEv2 を使って VPN を終端するよう設定されているシステムは、本脆弱性の影響を受けます。

Cisco Security Advisory には、システムが脆弱性の影響を受ける設定であるかどうか (crypto map を設定しているかどうか) を確認する方法について記載されています。

Cisco Security Advisory
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160210-asa-ike
CVSS による深刻度 (CVSS とは?)

基本値: 10.0 (危険) [IPA値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的

影響を受けるシステム

IKEv1 または IKEv2 を使って VPN を終端する Cisco ASA 製品が、本脆弱性の影響を受けます。

シスコシステムズ
  • Cisco Adaptive Security Appliance

詳しくは、開発者が提供する情報をご確認ください。

Cisco のアドバイザリの情報には次のように記載されています。

 Note: Only traffic directed to the affected system can be used to exploit this vulnerability. This vulnerability affects systems configured in routed firewall mode only and in single or multiple context mode. This vulnerability can be triggered by IPv4 and IPv6 traffic.
想定される影響

遠隔の攻撃者によって細工された UDP パケットが影響を受ける機器に直接送信されることで、任意のコードを実行され、システムを乗っ取られる可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は ASA のいくつかのバージョン向けに本脆弱性の修正版をリリースしています。

なお、Cisco ASA 7.2, 8.2, 8.3, 8.6 も本脆弱性の影響を受けますが、サポートが終了しています。これらのバージョンを使用しているユーザには、サポート対象への移行を強く推奨します。

[細工されたパケットを検知して破棄する]
Exodus Intelligence のアドバイザリには次のように記載されています:

 "Looking for the value of the length field of a Fragment Payload (type 132) IKEv2 or IKEv1 packet allows detecting an exploitation attempt. Any length field with a value < 8 must be considered as an attempt to exploit the vulnerability. The detection also has to deal with the fact that the multiple payloads can be chained inside an IKEv2 packet, and that the Fragment Payload may not be the only/first payload of the packet.
(IKEv1 または IKEv2 の Fragment Payload (type 132) の length フィールドの値を確認することで、攻撃を検知することが可能です。length の値が 8 より小さいものは本脆弱性を対象とした攻撃であると考えられます。攻撃を検知する際には、IKEv2 パケットの内部で複数のペイロードを連鎖させることが可能であること、Fragment Payload が、パケットの唯一あるいは最初のペイロードであるとは限らないことを考慮する必要があります。)"

ネットワーク管理者は、攻撃の検知や防御に関するルールの実装を検討してください。
ベンダ情報

シスコシステムズ
CWEによる脆弱性タイプ一覧  CWEとは?

  1. バッファエラー(CWE-119) [IPA評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2016-1287
参考情報

  1. JVN : JVNVU#90170158
  2. US-CERT Vulnerability Note : VU#327976
  3. 関連文書 : EXECUTE MY PACKET
更新履歴

[2016年02月12日]
  掲載