Cisco Talos では最近、Cisco 適応型セキュリティアプライアンス(ASA)と Firepower Appliance の特定の脆弱性に対するエクスプロイトが急増していることに気付きました。問題となっているのは CVE-2018-0296 です。ASA の Web フレームワークに起因するディレクトリトラバーサルの脆弱性であり、サービス拒否や情報漏えいにつながる可能性があります。細工された URL により ASA アプライアンスが再起動するか、認証されていない情報が漏えいする可能性があります。
脆弱性の実際のエクスプロイトが最初に確認されたのは 2018 年 6 月のことですが、過去数日間から数週間で頻度が増加している模様です。こうした背景から、影響を受けないバージョンのコードに更新済みであることを再確認いただくよう、すべてのお客様にお願いしております。また、エクスプロイトを検出するための Snort シグネチャ(46897)が導入済みであることもご確認ください。該当するお客様は、エクスプロイトを検出するためのポリシーで Snort シグネチャが有効になっていることをご確認ください。
脆弱性の影響を受けるお客様とは
この脆弱性は ASA/Firepower の Web フレームワークに起因するため、すべてのアプライアンスが影響を受けるわけではありません。脆弱性の影響とリスクについては、いくつかのコマンドを実行することで判断できます。まず次のコマンドを実行します。
show asp table socket | include SSL|DTLS
コマンドによりリッスンソケットが表示される場合は、エクスプロイトを受ける可能性があります。次のステップでは、脆弱なプロセスが実行されているかどうかを確認します。これには、次のコマンドを実行します。
show processes | include Unicorn
プロセスが実行中と表示される場合は、脆弱性が存在する可能性が高くなります。アプライアンス上で実行中のコードについて、こちらのアドバイザリに記載されているバージョンでないかご確認ください。記載されている場合の最も効果的な緩和策は、影響を受けないバージョンに更新することです。
まとめ
今回の脆弱性は新しいものではありませんが、エクスプロイトが増加し続けているため、サービス拒否や情報漏えいにつながる危険性を十分にご承知ください。年末年始の休みを目前に控えていますが、攻撃には休みがありません。できるだけ早く脆弱性の有無を確認し、必要に応じて適切な更新作業や緩和策を計画することで、リスクと影響の両方を最小限に抑えてください。
本稿は 2019年12月20日に Talos Group のブログに投稿された「Cisco ASA DoS bug attacked in wild」の抄訳です。