公開日:2016/02/12 最終更新日:2016/02/12

JVNVU#90170158
Cisco Adaptive Security Appliance (ASA) の IKEv1 と IKEv2 の処理にバッファオーバーフローの脆弱性

概要

Cisco Adaptive Security Appliance (ASA) の Internet Key Exchange version 1 および 2 (IKEv1, IKEv2) にはバッファオーバーフローの脆弱性が存在します。脆弱性を悪用することで、攻撃者は遠隔からコードを実行することが可能です。

影響を受けるシステム

  • IKEv1 または IKEv2 を使って VPN を終端する Cisco ASA 製品
詳しくは、開発者が提供する情報をご確認ください。

Cisco のアドバイザリの情報には次のように記載されています。
Note: Only traffic directed to the affected system can be used to exploit this vulnerability. This vulnerability affects systems configured in routed firewall mode only and in single or multiple context mode. This vulnerability can be triggered by IPv4 and IPv6 traffic.

詳細情報

バッファオーバーフロー (CWE-119) - CVE-2016-1287 Exodus Intelligence のアドバイザリには次のように記載されています:

"The algorithm for re-assembling IKE payloads fragmented with the Cisco fragmentation protocol contains a bounds-checking flaw that allows a heap buffer to be overflowed with attacker-controlled data. A sequence of payloads with carefully chosen parameters causes a buffer of insufficient size to be allocated in the heap which is then overflowed when fragment payloads are copied into the buffer. Attackers can use this vulnerability to execute arbitrary code on affected devices.
(Cisco fragmentation protocol によって分割された IKE ペイロードを再結合するアルゴリズムには、境界チェックの処理に欠陥があり、ヒープ上のバッファを攻撃者が制御可能なデータでオーバーフローさせることが可能です。パラメータが細工されたペイロード列が与えられると、ヒープメモリ上に想定より小さいバッファが確保され、ペイロードがバッファにコピーされる際にオーバーフローが発生します。攻撃者はこの脆弱性を悪用することで、影響を受ける機器上で任意のコードを実行することができます。)"

IKEv1 および IKEv2 を使って VPN を終端するよう設定されているシステムは、本脆弱性の影響を受けます。

Cisco Security Advisory には、システムが脆弱性の影響を受ける設定であるかどうか (crypto map を設定しているかどうか) を確認する方法について記載されています。

想定される影響

遠隔の攻撃者によって細工された UDP パケットが影響を受ける機器に直接送信されることで、任意のコードを実行され、システムを乗っ取られる可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者は ASA のいくつかのバージョン向けに本脆弱性の修正版をリリースしています。

なお、Cisco ASA 7.2, 8.2, 8.3, 8.6 も本脆弱性の影響を受けますが、サポートが終了しています。これらのバージョンを使用しているユーザには、サポート対象への移行を強く推奨します。

細工されたパケットを検知して破棄する
Exodus Intelligence のアドバイザリには次のように記載されています:

"Looking for the value of the length field of a Fragment Payload (type 132) IKEv2 or IKEv1 packet allows detecting an exploitation attempt. Any length field with a value < 8 must be considered as an attempt to exploit the vulnerability. The detection also has to deal with the fact that the multiple payloads can be chained inside an IKEv2 packet, and that the Fragment Payload may not be the only/first payload of the packet.
(IKEv1 または IKEv2 の Fragment Payload (type 132) の length フィールドの値を確認することで、攻撃を検知することが可能です。length の値が 8 より小さいものは本脆弱性を対象とした攻撃であると考えられます。攻撃を検知する際には、IKEv2 パケットの内部で複数のペイロードを連鎖させることが可能であること、Fragment Payload が、パケットの唯一あるいは最初のペイロードであるとは限らないことを考慮する必要があります。)"
ネットワーク管理者は、攻撃の検知や防御に関するルールの実装を検討してください。

参考情報

  1. CERT/CC Vulnerability Note VU#327976
    Cisco Adaptive Security Appliance (ASA) IKEv1 and IKEv2 contains a buffer overflow vulnerability
  2. Exodus Intelligence blog
    EXECUTE MY PACKET

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
基本値: 9.8
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:N/AC:L/Au:N/C:C/I:C/A:C
基本値: 10.0
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2016-1287
JVN iPedia