Cisco製品にまた固定パスワードの脆弱性、「DROWN」問題の対応も説明
Cisco製スイッチのアカウントに固定パスワードが設定される極めて深刻な脆弱性に対処。OpenSSLやGNU glibcの脆弱性についても対応状況を説明している。
米Ciscoは3月2日、複数の製品に関するセキュリティ情報を公開し、同社製スイッチのアカウントに固定パスワードが設定される極めて深刻な脆弱性などに対処したことを明らかにした。今年に入って発覚したOpenSSLやGNU glibcの脆弱性についても対応状況を説明している。
Ciscoのセキュリティ情報によると、固定パスワードの脆弱性は、「Nexus 3000」シリーズのスイッチと「Nexus 3500」プラットフォームスイッチに搭載された「Cisco NX-OSソフトウェア」に存在する。悪用された場合、リモートの攻撃者にroot権限でデバイスにログインされる恐れがある。
この問題は、インストール時に作成されるユーザーアカウントに、デフォルトの固定パスワードが設定されることに起因する。同アカウントを使えばTelnet経由でリモートからデバイスにログインすることが可能。システムの機能に影響を及ぼすことなく、同アカウントを変更したり削除したりすることはできない。
危険度は共通脆弱性評価システム(CVSS)で最高値の「10.0」。同社はソフトウェアアップデートを公開し、この問題に対処した。
固定パスワードの脆弱性は、過去にもCiscoの別の製品で発覚しており、米セキュリティ機関のSANS Internet Storm Centerは「違う製品で違反が繰り返されている。Ciscoのセキュリティテストはこの種の脆弱性に盲点があるらしい」と批判している。
一方、2月に発覚したGNUライブラリ「glibc」の脆弱性については、影響を受けるCisco製品の一覧が公開された。ソフトウェアアップデートは順次リリースし、脆弱性を修正する予定だと説明している。
TLS/SSLの実装に関連して発覚した「DROWN」と呼ばれる脆弱性については、OpenSSLプロジェクトチームが3月1日にセキュリティ情報を公開したことを受け、どの製品が影響を受けるかについて調査に乗り出した。影響が確認できた製品についてはアドバイザリーの情報を更新していく方針。
これとは別に、OpenSSLプロジェクトチームが1月28日に明らかにした2件の脆弱性についても現在調査を進めており、製品ごとに対応状況やパッチの公開予定を掲載している。
関連記事
- OpenSSLの更新版公開、「DROWN」の脆弱性に対処
OpenSSL 1.0.2gと1.0.1sでは「DROWN」と呼ばれる新たな脆弱性が発覚したことを受け、SSLv2をデフォルトで無効にする措置を講じた。 - 「glibc」ライブラリに脆弱性、Linuxの大部分に深刻な影響
【Update】脆弱性が指摘された機能は大半のUNIXベースシステムでIPアドレスの解決に使われており、影響は広範に及ぶ。 - Cisco製品にデフォルトのSSH鍵、特権アクセスされる恐れ
「Ciscoは全てのシステムに同じSSH鍵を使うという過ちを犯し、その秘密鍵を顧客のシステム上に残しておいた」とSANSは解説している。 - Cisco製品に深刻な脆弱性、特権アカウントにデフォルトの固定パスワード
「Unified CDM」では特権アカウントにデフォルトの固定パスワードが設定され、リモートの攻撃者がシステムを完全制御できてしまう恐れがある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.