ITmedia NEWS > 速報 >
速報
» 2005年12月01日 08時48分 UPDATE

CiscoのIOSソフトに脆弱性

この脆弱性を突かれると、攻撃者がCiscoデバイスで管理者権限を取得したり、マシン上で任意のコードを実行できてしまう。(IDG)

[IDG Japan]
IDG

 セキュリティ研究者がこのほど、CiscoのIOSソフトにセキュリティホールを発見したと報告した。

 この脆弱性が原因で、攻撃者がCiscoデバイスのIPアドレスさえ知っていれば、Ciscoデバイスで管理者権限を取得したり、マシン上で任意のコードを実行できてしまうという。

 この脆弱性では、セキュリティ企業のSecuniaとSecurityFocusが報告している通り、攻撃者にHTTPサーバ経由でIOSルータのメモリダンプ(ルータのメモリにあるデータの記録)を参照され、そのHTTPサーバを通じてルータにスクリプトコードを仕掛けられる可能性がある。攻撃者はこの手口を使ってCiscoのルータやスイッチに管理者権限でアクセスし、コードを実行できてしまう。

 脆弱性の影響を受けるのは、IOS HTTPサーバを実行しているCiscoルータのみ。Cisco IOSバージョン11.0以降にHTTPサーバソフトが搭載されているため、この脆弱性が存在する。同社のWebサイトによれば、Ciscoから出荷されたルータにインストールされているIOSは、大部分がデフォルトでHTTPサーバが無効になっている。しかし、リセラー、キャリアなどのパートナーが顧客のネットワークにこのデバイスを導入する際、管理目的でHTTPを有効にする可能性がある。

 CiscoではこのIOS HTTPの脆弱性について認識していると広報担当者は説明。現在問題について調査中で、必要と判断した場合は顧客向けにアドバイザリーを発行するとしている。

Copyright(C) IDG Japan, Inc. All Rights Reserved.