ASAのhttpサービスに関する脆弱性について（2018/6/6発表）

athirano1 · ‎2018-06-14

こんにちは

ASA5545X + ASA OS: 9.6.4(3) + AnyConnect 4.5系でエンドユーザにSSL-VPNサービスを提供しています。

2018/6/6に発表された脆弱性情報について質問があります。
Cisco Adaptive Security Appliance Web Services Denial of Service Vulnerability
（https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180606-asaftd）
Cisco Bug IDs: CSCvi16029

深刻度：Highであり、脆弱性を突かれた場合、攻撃者により機器がリロードさせられる危険もあるそうなので、対応を行う予定です。脆弱性Fix済みのOSのバージョンの記載があり、例えば、9.6 系では、9.6.4.8か、それ以降とのことです。（2018/6/14時点）

■質問内容
脆弱性が発表されたのは 2018/6/6
9.6.4(8)のリリース日は 2018/4/26 でリリースノートの"Defects resolved～"の欄にCSCvi16029の記載は無（当然かもしれませんが）

質問１
Defects resolved since 9.6(4)6として、DefectのBugIDが２５件ほど列挙されてますが、この中のどれかが、CSCvi16029への対応にもなっている　という理解でよいでしょうか？
（情報の開示が可能な場合、それはどのBug IDでしょうか？
　webvpnに関するBug IDが２件ありますが、そのあたりでしょうか？）

現時点（2018/6/14）では、9.6系では9.6(4)8が最新ですが、
関連する追加の脆弱性対応のため、今後２～３週間程度で9.6(4)9以降がリリースされ、それがミニマムバージョンとなる可能性はありますでしょうか。

よろしくお願いします。

Akira Muranaka · ‎2019-08-04

こんにちは。

修正の適用されたバージョンは Bug SeachのKnown Fixed Versionで確認でき、CSCvi16029 の場合 9.6系は 9.6(3)27や 9.6(4)7以降に修正されていることが分かります。そのため、9.6(4)6以前には修正は含まれません。

Known Fixed Releases.JPG

9.6系の場合、9.6(4)7以降のリリースは全てCSCvi16029の修正コードを持ちますため、恐らく9.6(4)7はシスコさん社内のテストバージョンで、9.6(4)8が社内テストをパスした公開安定バージョンのため、以下のセキュリティアドバイザリにも修正済みリリースとして公開されている状態かと思います。

https://www.cisco.com/c/ja_jp/support/docs/csa/2018/cisco-sa-20180606-asaftd.html

>>関連する追加の脆弱性対応のため、今後２～３週間程度で9.6(4)9以降がリリースされ、それがミニマムバージョンとなる可能性はありますでしょうか。

その可能性はあるかもですが、誰も保証することはできないと思いますし、あまり考えても意味ないことかなぁ、と思います。セキュリティアドバイザリが公開されたということは、悪意ある攻撃者はユーザが対策を打つ前に素早く攻撃しようと考えるかもしれませんし、影響を受けるバージョン・設定や環境で利用時の場合は、速やかに回避策の適用、もしくは、修正バージョンに上げたほうが良いのは、と思います。攻撃を受けるリスクがあるから即時に対応を告知するのがセキュリティアドバイザリの目的ですので。

その後追加でセキュリティアドバイザリが公開されたら、その時点で CVSSスコアや該当製品、影響度などを元に再度バージョンアップするか判断すればいいのかな、と思います。