Ciscoのアクセス制御製品に脆弱性、認証を迂回される恐れ

[鈴木聖子，ITmedia]

　米Cisco Systemsは11月7日、アクセス制御プラットフォーム「Secure Access Control System」（ACS）でTACACS+ベース認証が迂回される脆弱性について解説したセキュリティ情報を公開した。米セキュリティ機関のSANS Internet Storm Centerは、「この脆弱性は非常に簡単に悪用できてしまう恐れがある」として注意を呼び掛けている。

　Ciscoによると、この脆弱性は認証プロトコルにTACACS+が使われ、Cisco Secure ACSがLDAPで設定されている環境で、ユーザーの入力するパスワードのチェックが不適切なことに起因する。

　この脆弱性を悪用すると、攻撃者がユーザーパスワードの入力を求められた際に特定の文字列を送信することにより、認証を通過できてしまう恐れがあるという。

　影響を受けるのは、Cisco Secure ACSの5.0〜5.3までのバージョン。5.4は影響を受けないという。危険度はCVSSベーススコアで「5.0」（最高値は10.0）と評価されている。

　Ciscoは無料ソフトウェアアップデートを公開し、この脆弱性に対処した。