Cisco製品にまた固定パスワードの脆弱性、「DROWN」問題の対応も説明

Cisco製スイッチのアカウントに固定パスワードが設定される極めて深刻な脆弱性に対処。OpenSSLやGNU glibcの脆弱性についても対応状況を説明している。

[鈴木聖子，ITmedia]

　米Ciscoは3月2日、複数の製品に関するセキュリティ情報を公開し、同社製スイッチのアカウントに固定パスワードが設定される極めて深刻な脆弱性などに対処したことを明らかにした。今年に入って発覚したOpenSSLやGNU glibcの脆弱性についても対応状況を説明している。

　Ciscoのセキュリティ情報によると、固定パスワードの脆弱性は、「Nexus 3000」シリーズのスイッチと「Nexus 3500」プラットフォームスイッチに搭載された「Cisco NX-OSソフトウェア」に存在する。悪用された場合、リモートの攻撃者にroot権限でデバイスにログインされる恐れがある。

　この問題は、インストール時に作成されるユーザーアカウントに、デフォルトの固定パスワードが設定されることに起因する。同アカウントを使えばTelnet経由でリモートからデバイスにログインすることが可能。システムの機能に影響を及ぼすことなく、同アカウントを変更したり削除したりすることはできない。

　危険度は共通脆弱性評価システム（CVSS）で最高値の「10.0」。同社はソフトウェアアップデートを公開し、この問題に対処した。

　固定パスワードの脆弱性は、過去にもCiscoの別の製品で発覚しており、米セキュリティ機関のSANS Internet Storm Centerは「違う製品で違反が繰り返されている。Ciscoのセキュリティテストはこの種の脆弱性に盲点があるらしい」と批判している。

Ciscoで過去に発覚した固定パスワードの脆弱性（SANS ISCより）

　一方、2月に発覚したGNUライブラリ「glibc」の脆弱性については、影響を受けるCisco製品の一覧が公開された。ソフトウェアアップデートは順次リリースし、脆弱性を修正する予定だと説明している。

　TLS/SSLの実装に関連して発覚した「DROWN」と呼ばれる脆弱性については、OpenSSLプロジェクトチームが3月1日にセキュリティ情報を公開したことを受け、どの製品が影響を受けるかについて調査に乗り出した。影響が確認できた製品についてはアドバイザリーの情報を更新していく方針。

　これとは別に、OpenSSLプロジェクトチームが1月28日に明らかにした2件の脆弱性についても現在調査を進めており、製品ごとに対応状況やパッチの公開予定を掲載している。

公開されたCisco製品の脆弱性情報