シスコシステムズ社製品のAAAコマンドチェック脆弱性への対応について
掲載日:2006年3月8日
シスコシステムズ社より「CISCO製品AAAによるコマンド実行権限チェックの脆弱性」の存在が報告されました。脆弱性の概要と当社の対応方針をご連絡致します。
I. 概要
Cisco IOSにおいてTool Command Language exec shell(tclsh)経由で実行されたコマンドの実行権限チェックがAAAにて行われない脆弱性が存在します。
シスコシステムズ社からの情報
(英文)
Cisco Security Notice:・Response to AAA Command Authorization by-pass
1.事象
Cisco IOSにおいてtclshで実行されたIOSコマンドはAAAによるコマンドの実行可否のチェックをバイパスします。Tclshを実行中のユーザがtchshモードを終了せずにVTY/TTYセッションを終了した場合に、そのtchshプロセスは該当するVTY/TTYセッションで有効となっています。再び別のユーザがそのVTY/TTYセッションへアクセスした場合、AAAによるコマンドの実行権限チェックがバイパスされるため、コマンド実行権限が無いユーザにおいて全IOS EXECコマンドを実行できてしまう恐れがあります。
2.該当製品
「AAAを有効設定し、tclshをサポートし、IOS12.0T以降を実装しているCisco IOS機器」が該当し、富士通取扱シスコ製品に関して下記が対象となります。
- Cisco 800 1700 1800 2600 2800 3600 3700 3800 7200 7300 7500 7600シリーズ
なお、以下のいづれか該当する場合は影響を受けません。
- Cisco IOSを利用していない機器
- Cisco IOS 12.0 mainlineもしくはそれ以前のバージョン
- Cisco IOS 12.0Sを利用している機器
- Cisco IOSを利用しているが、tcl機能を利用していない機器
- Cisco IOSを利用しているが、AAAの設定が有効になっていない機器
- IOS XRを利用している機器
本脆弱性に該当するかどうかは以下コマンドにて確認することができます。
(1) AAAの設定が有効かどうか確認する
show running-configurationにて「aaa authorization commands」コマンドが入力されているか確認します。AAAが設定されていない場合は本脆弱性の影響はありません。
(出力例)
aaa authorization commands 15 default group tacacs+ none
(2) インストールされているIOSがTcl機能に対応しているかは「tclsh」コマンドを実行し、プロンプトに(tcl)が返されるかどうか確認します。(tcl)プロンプトが返されない場合は本脆弱性の影響はありません。
(出力例)
Router#tchsh
Router(tcl)#
3.恒久対策
脆弱性対処済みバージョンへのバージョンアップにて、恒久的な対策を行うことが出来ます。脆弱性対処済みバージョン情報は、シスコシステムズ社 下記URL のSoftware Versions and Fixesを参照下さい。(英文)
Cisco Security Notice:・Response to AAA Command Authorization by-pass
4.回避策
恒久対策がすぐに実行できない場合の、本脆弱性による影響を緩和する回避策を示します。
(1) 「aaa authorization config-commands」の追加
aaa authorization config-commandsを追加することでtchshモードにおいても強制的にコマンド実行権限チェックを行います。ただし、本設定により全てのIOS EXECコンフィグレーションモードのコマンドはチェック対象となることに注意して下さい。
AAAについての詳細は以下を参照下さい。
(英文)
aaa authorization config-commands
(2) TACACS+ユーザプロファイルにより「tclsh」コマンドを拒否
TACACS+を利用している場合、全てのユーザプロファイルに対して「tclsh」コマンドの実行を制限することで回避可能です。ただし、1ユーザでも「tclsh」を許容している場合は有効な回避策にはならないため、注意が必要です。設定に関してはご利用されているTACACS+ベンダーのサーバコンフィグレーションガイド等を確認して下さい。
(3) Role-Based CLIの適用
Role-Based CLI機能はIOS EXEC及びコンフィグレーションモードのコマンドの実行権限の設定を行うことができます。本機能にて「tclsh」コマンドの制限を行うことで回避が可能です。
Role-Based CLIについては以下を参照下さい。
(英文)
Role-Based CLI Access
回避策の詳細については以下を参照下さい。
(英文)
Cisco Security Notice:・Response to AAA Command Authorization by-pass
II. 弊社の対応
1.対応方法
富士通取扱シスコ製品に関しては、脆弱性対応済みIOSソフトウェアを無償でご提供いたします。購入頂いた販売会社または弊社担当営業にご依頼下さい。
<ソフトウェアインストール作業の代行について>
弊社技術員によるIOSソフトウェアインストール作業をご希望の場合は、別途有償にて請け賜ります。販売会社または弊社担当営業にご依頼下さい。
2.注意事項
2.1 回避策の適用について
回避策を講じる場合、その設定作業などはお客様の作業になります。
2.2 恒久対策の適用について
リリースされた脆弱性対処済みIOSを適用する場合には、下記の点に注意願います。
(1) お客様のシステムに対応した脆弱性対処済みIOSの選定、バージョンアップ時に必要なメモリ容量の調査についてはお客様の作業になります。
(2)
IOSソフトウェアを変更した場合、FLASH/DRAMの容量が不足する場合が有ります。FLASH/DRAMメモリ容量が不足する場合には、お客様に追加のメモリをご購入頂く必要が有ります。変更する前にFLASH/DRAMの容量を確認して下さい。FLASH/DRAM必要容量に関しては、シスコシステムズ社ホームページのRelease Notesを参照下さい。
以下Base Releaseのホームページから該当する製品のRebuild、MaintenanceバージョンのRelease Notesへリンクされています。
