Tenable ブログ
ブログ通知を受信するCisco Smart Install - スイッチに対する攻撃を防ぐ方法
最近、Cisco Smart Install機能を巡って慌ただしい動きがあります。先週、技術的ブログにCVE-2018-0171に関する投稿を行いました。これは、Cisco Smart Install機能の重大な脆弱性を扱ったものであり、概念実証コードがすでに公開リリースされていることもあって、速やかな対策が必要です。現在、世界中のさまざまな国でSmart Install機能のあるCiscoスイッチをターゲットとした攻撃の波が、データセンターを通じてインターネットを行き交っています。今回は、Smart InstallサポートによりオープンになっているCiscoのスイッチ上のSmart Installプロトコルを攻撃者が悪用しています。攻撃者がアクセスに成功すると、スイッチ上のCisco IOSイメージを書き換えて、設定ファイルに変更を加えます。その攻撃を受けると、メッセージバナーとして「Do not mess with our elections(我らの選挙にかかわるな)」というようなメッセージが残されます。そしてスイッチが使用不能になります。
影響の評価
Cisco Talosによると、Shodan上にある168,000個を超えるデバイスがこの脆弱性を抱えています。現時点で、Ciscoスイッチがダウンする頻度は分かっていません。しかし、スイッチの損失は、ネットワークアーキテクチャに応じて、データセンターに対して大小さまざまな被害をもたらします。インターネット接続用に使用されるCiscoスイッチがダウンすると、接続が失われる可能性があります。スイッチに関する対策をしていない事業所では、接続が失われることで、売り上げ、生産性、あるいは顧客とのやり取りに悪影響があるかもしれません。
悪用
Ciscoによると、「Cisco Smart Installプロトコルを悪用すると、Trivial File Transfer Protocol(TFTP)サーバー設定に変更を加え、TFTP経由で設定ファイルを密かに持ち出し、設定ファイルに変更を加え、IOSイメージを置き換え、アカウントをセットアップして、IOSコマンドの実行が可能になることがあります。これは古典的な意味では脆弱性ではありませんが、このプロトコルの悪用はただちに対策が必要な攻撃ベクターです。」
Ciscoでは昨年Smart Installのセキュリティに関するアドバイザリーをリリースし、先週また同じアドバイスを繰り返したところです。
緊急措置が必要
CiscoとTenableでは、直ちに次の方法でCiscoスイッチへの対策を講じることを推奨しています。
- アクセス制御リストによりアクセスを制限する
- TCP4786 ポートへのアクセスを制限する
- スイッチ上のSmart Installクライアントを無効にする
影響を受けているシステムの特定
- Ciscoでは、Cisco Smart Installプロトコルを使用するデバイスをスキャンする オープンソースのツールをリリースした
- Tenableでは、プラグイン105161 を使用してCisco Smart Installを検出している
詳細情報
- 最新のアタックサーフェスを総合的に管理する初のサイバーエクスポージャープラットフォーム、 Tenable.ioの詳細情報
- 今すぐ Tenable.io 60日間 無料 トライアルをお試しください!
関連記事
- Plugins