AX-VU2014-02「OpenSSL脆弱性(JVN#61247051)」に関するご報告

AX第1版 2014-6-17
AX第2版 2015-7-31
アラクサラネットワークス株式会社

平素より、弊社ネットワーク製品に対し格別のご高配を賜り深謝申し上げます。
以下に、OpenSSLの脆弱性(JVN#61247051)について報告致します。

出典

US-CERT Vulnerability Note VU#978508
Date:June 5, 2014
Topic:OpenSSL is vulnerable to a man-in-the-middle attack
Japan Vulnerability Notes JVNVU#61247051
CVE-2014-0224

概要

OpenSSL には、初期 SSL/TLS ハンドシェイクにおける Change Cipher Spec メッセージの処理に脆弱性が存在し、脆弱なサーバと脆弱なクライアントの組み合わせで使用している場合、中間者攻撃に利用される可能性があります。

影響

弊社製品では、AX620Rで本脆弱性の影響を受けます。
その他の製品では影響を受けません。

<AX620R>

想定される影響は、以下2つの条件に合致する場合に、サーバとクライアント間の SSL/TLS通信が、中間者攻撃 (man-in-the-middle attack) によって解読されたり、改ざんされたりする可能性となります。

影響を受ける条件
  1. 現在使用しているソフトウェアのバージョンがVer 8.2.19からVer 8.11.11の範囲に該当。
  2. 以下のいずれかの機能を利用している。
    • ファームウェアアップデート機能でHTTPSを利用している。
    • ダイナミックDNS機能でHTTPSを利用している。
    • 装置起動時の自動コンフィグダウンロード機能でHTTPSを利用している。
    • 装置起動時の自動ファームウェアアップデート機能でHTTPSを利用している。
    • IKEv2で利用するCA証明書の装置登録時にHTTPSを利用している。
機種、ソフトウェアバージョン別影響
機種名 バージョン 影響
AX620R-2015 Ver 8.1.15以前 影響を受けません。
Ver 8.2.19〜
Ver 8.3.49
ファームウェアアップデート機能で影響を受けます。
AX620R-2005 Ver 8.1.15以前 影響を受けません。
Ver 8.2.19〜
Ver 8.9.19
ファームウェアアップデート機能で影響を受けます。
Ver 8.8.22〜
Ver 8.9.19
ダイナミックDNS機能で影響を受けます。
装置起動時の自動コンフィグダウンロード機能で影響を受けます。
装置起動時の自動ファームウェアアップデート機能で影響を受けます。
Ver 8.7.22〜
Ver 8.9.19
IKEv2で利用するCA証明書の装置登録で影響を受けます。
AX620R-2025 Ver 8.3.8〜
Ver 8.11.11
ファームウェアアップデート機能で影響を受けます。
Ver 8.8.22〜
Ver 8.11.11
ダイナミックDNS機能で影響を受けます。
装置起動時の自動コンフィグダウンロード機能で影響を受けます。
装置起動時の自動ファームウェアアップデート機能で影響を受けます。
Ver 8.7.22〜
Ver 8.11.11
IKEv2で利用するCA証明書の装置登録で影響を受けます。
AX620R-2105 Ver 8.5.21〜
Ver 8.11.11
ファームウェアアップデート機能で影響を受けます。
Ver 8.8.22〜
Ver 8.11.11
ダイナミックDNS機能で影響を受けます。
装置起動時の自動コンフィグダウンロード機能で影響を受けます。
装置起動時の自動ファームウェアアップデート機能で影響を受けます。
IKEv2で利用するCA証明書の装置登録で影響を受けます。
AX620R-2215 Ver 8.8.54〜
Ver 8.11.11
ファームウェアアップデート機能で影響を受けます。
ダイナミックDNS機能で影響を受けます。
装置起動時の自動コンフィグダウンロード機能で影響を受けます。
装置起動時の自動ファームウェアアップデート機能で影響を受けます。
IKEv2で利用するCA証明書の装置登録で影響を受けます。
AX620R-3010
AX620R-3110
Ver 8.1.15以前 影響を受けません。
Ver 8.2.19〜
Ver 8.11.11
ファームウェアアップデート機能で影響を受けます。
Ver 8.8.22〜
Ver 8.11.11
ダイナミックDNS機能で影響を受けます。
装置起動時の自動コンフィグダウンロード機能で影響を受けます。
装置起動時の自動ファームウェアアップデート機能で影響を受けます。
IKEv2で利用するCA証明書の装置登録で影響を受けます。
機能別影響
ダイナミックDNS機能
攻撃者に暗号化鍵を推測され、中間者攻撃により暗号化データを解読される可能性があります。ダイナミックDNSの更新情報、アカウント、パスワードなどが解読される可能性があります。
ファームウェアアップデート機能、装置起動時の自動ファームウェアアップデート機能
攻撃者に暗号化鍵を推測され、中間者攻撃により暗号化データを解読される可能性があります。 ダウンロード中のファームウェアデータが解読される可能性があります。
装置起動時の自動コンフィグダウンロード機能
攻撃者に暗号化鍵を推測され、中間者攻撃により暗号化データを解読される可能性があります。 ダウンロード中のコンフィグが解読される可能性があります。
CA証明書のインポート機能
中間者攻撃を行う第三者によって、暗号化された通信内容の一部を解読される可能性があります。ダウンロード中のCA証明書が解読される可能性があります。

回避方法

次の回避策をお願いいたします。

<AX620R>

ダイナミックDNS機能
    以下の対策を行うことにより、本脆弱性の影響を回避することが可能です。本装置のみの対策による本脆弱性に対する完全な回避はできません。
    • 接続先サーバの本脆弱性を排除する。
      ※ダイナミックDNSサーバ接続にHTTPSを使用しないことにより、本脆弱性の回避は可能ですが、HTTPは通信が暗号化されないため、HTTPSのままでご利用いただく方がデータを解読されるリスクは低くなります。
ファームウェアアップデート機能
装置起動時の自動ファームウェアアップデート機能
装置起動時の自動コンフィグダウンロード機能
CA証明書のインポート機能
    • 接続先サーバの本脆弱性を排除する。
    • 接続先サーバとの間をIPsecで暗号化する。

対策

本脆弱性の対策版ソフトウェアの適用をお願いします。

対象製品

種別情報
No 装置シリーズ名 対象ソフトウェア製品 対策バージョン 対策版リリース日
1 AX8600S 本脆弱性に該当しません - -
2 AX7800S 本脆弱性に該当しません - -
3 AX6700S 本脆弱性に該当しません - -
4 AX6600S 本脆弱性に該当しません - -
5 AX6300S 本脆弱性に該当しません - -
6 AX5400S 本脆弱性に該当しません - -
7 AX4600S 本脆弱性に該当しません - -
8 AX3800S 本脆弱性に該当しません - -
9 AX3600S 本脆弱性に該当しません - -
10 AX2500S 本脆弱性に該当しません - -
11 AX2400S 本脆弱性に該当しません - -
12 AX2200S 本脆弱性に該当しません - -
13 AX1200S 本脆弱性に該当しません - -
14 AX8600R 本脆弱性に該当しません - -
15 AX7800R 本脆弱性に該当しません - -
16 AX7700R 本脆弱性に該当しません - -
17 AX2000R 本脆弱性に該当しません - -
18 AX620R 機種、バージョン、機能は【影響】を参照。 Ver 9.1.10 以降 リリース済 *1
*1
AX620R-2005、AX620R-2015においては、対策版ソフトウェアのリリース予定はございません。回避方法による対応を推奨いたします。

なお、セキュリティ対応に関して正確な情報を提供するよう努力しておりますが、セキュリティ問題に関する情報は変化しており、記載している内容を予告なく変更することがございますので、あらかじめご了承ください。情報ご参照の際には、常に最新の情報をご確認いただくようお願いします。

ソフトウェアの入手方法

対策版ソフトウェアの入手につきましては、購入元にご確認ください。