Cisco Smart Install - スイッチに対する攻撃を防ぐ方法

最近、Cisco Smart Install機能を巡って慌ただしい動きがあります。先週、技術的ブログにCVE-2018-0171に関する投稿を行いました。これは、Cisco Smart Install機能の重大な脆弱性を扱ったものであり、概念実証コードがすでに公開リリースされていることもあって、速やかな対策が必要です。現在、世界中のさまざまな国でSmart Install機能のあるCiscoスイッチをターゲットとした攻撃の波が、データセンターを通じてインターネットを行き交っています。今回は、Smart InstallサポートによりオープンになっているCiscoのスイッチ上のSmart Installプロトコルを攻撃者が悪用しています。攻撃者がアクセスに成功すると、スイッチ上のCisco IOSイメージを書き換えて、設定ファイルに変更を加えます。その攻撃を受けると、メッセージバナーとして「Do not mess with our elections（我らの選挙にかかわるな）」というようなメッセージが残されます。そしてスイッチが使用不能になります。 

影響の評価

Cisco Talosによると、Shodan上にある168,000個を超えるデバイスがこの脆弱性を抱えています。現時点で、Ciscoスイッチがダウンする頻度は分かっていません。しかし、スイッチの損失は、ネットワークアーキテクチャに応じて、データセンターに対して大小さまざまな被害をもたらします。インターネット接続用に使用されるCiscoスイッチがダウンすると、接続が失われる可能性があります。スイッチに関する対策をしていない事業所では、接続が失われることで、売り上げ、生産性、あるいは顧客とのやり取りに悪影響があるかもしれません。

悪用

Ciscoによると、「Cisco Smart Installプロトコルを悪用すると、Trivial File Transfer Protocol（TFTP）サーバー設定に変更を加え、TFTP経由で設定ファイルを密かに持ち出し、設定ファイルに変更を加え、IOSイメージを置き換え、アカウントをセットアップして、IOSコマンドの実行が可能になることがあります。これは古典的な意味では脆弱性ではありませんが、このプロトコルの悪用はただちに対策が必要な攻撃ベクターです。」

Ciscoでは昨年Smart Installのセキュリティに関するアドバイザリーをリリースし、先週また同じアドバイスを繰り返したところです。

緊急措置が必要

CiscoとTenableでは、直ちに次の方法でCiscoスイッチへの対策を講じることを推奨しています。

• アクセス制御リストによりアクセスを制限する
• TCP4786 ポートへのアクセスを制限する
• スイッチ上のSmart Installクライアントを無効にする
  

影響を受けているシステムの特定

• Ciscoでは、Cisco Smart Installプロトコルを使用するデバイスをスキャンする オープンソースのツールをリリースした
• Tenableでは、プラグイン105161 を使用してCisco Smart Installを検出している

詳細情報

• 最新のアタックサーフェスを総合的に管理する初のサイバーエクスポージャープラットフォーム、  Tenable.ioの詳細情報
• 今すぐ Tenable.io 60日間 無料 トライアルをお試しください！