7年前のCisco機器の脆弱性 依然として悪用が可能と研究者が指摘：セキュリティニュースアラート

セキュリティ研究者がCiscoの機器に搭載されたSmart Install機能の脆弱性が依然として悪用対象である可能性を指摘した。パッチが未適用のCisco機器においてリモートコード実行のリスクがある。

[後藤大地，有限会社オングス]

　セキュリティ研究者マシュー・ゴーマン氏は2025年4月9日（現地時間）、Ciscoのネットワークインフラ機器に関するサイバーセキュリティの課題についての調査結果をSANS Internet Storm Centerのブログで発表した。

　Cisco製のネットワーク機器に搭載されている「Smart Install」機能に焦点を当て、過去の脆弱（ぜいじゃく）性「CVE-2018-0171」が依然として現実的な脅威であることを指摘している。Smart Installはネットワーク機器の初期設定やIOSイメージの配布や設定のバックアップなどを遠隔から簡易的に実行するための機能で、これを悪用するとサイバー攻撃者がリモートからコードを実行する可能性がある。

いまだ現役の脅威、Cisco Smart InstallのCVE-2018-0171問題

　ゴーマン氏は、多くのCisco機器でSmart Install機能が初期設定時に有効であり、特定の操作において認証が不要である点、そして多くの機器が外部からアクセス可能な状態で稼働する可能性があることを問題として指摘している。実際にゴーマン氏がインターネット上で該当ポート（TCP 4786）を調査したところ、1200台以上のデバイスが公開状態にあると説明している。

　同氏はCVE-2018-0171の再現実験として「IOS12.2（55）SE11」ファームウェアが動作する「Cisco Catalyst 3750」スイッチとオープンソースの攻撃ツールである「Smart Install Exploitation Tool」（SIET）を使って、脆弱性がどのように悪用できるかを検証した。通信内容はパケット解析ソフトである「Wireshark」で分析を実施し、設定ファイルの取得に成功している。

　取得した設定ファイルはCisco機器で高い権限を持つアカウントのパスワードを含んでおり、Type 7と呼ばれる簡易的な暗号化方式を使っているという。この暗号化方式は解読手法が明らかであり、解析が容易という問題がある。SSH接続などの設定が不十分な場合にはサイバー攻撃者は正規の管理者アカウントでネットワーク機器にログインし、不正行為の痕跡を最小限に抑えたまま侵入できる可能性がある。

　ゴーマン氏はこの脆弱性情報が2018年には存在するにもかかわらず、いまだに現実の攻撃で利用できることに警鐘を鳴らしている。実際にセキュリティ企業GreyNoiseやCisco Talosもこの脆弱性を利用する攻撃が継続存在していることを報告しており、中国拠点の攻撃者グループ「Salt Typhoon」が関与していることも指摘している。2024年秋には同グループが米国の大手通信事業者を標的とした大規模なサイバー攻撃を実施した。

　CVE-2018-0171のようなセキュリティ脆弱性を有するデバイスは、持続的標的型攻撃（APT）、サイバー犯罪者、重要インフラへの足掛かりを築こうとするその他の攻撃者にとって今後も魅力的な標的であり続ける可能性が高い。脆弱性への対応状況を定期的に確認し、不要な機能の無効化やソフトウェアの更新など、基本的なセキュリティ対策を怠らないことが大切だ。