編集部からのお知らせ
新型コロナ禍が組み替えるシステム
テレワーク関連記事一覧はこちら

シスコの仮想アプライアンス製品でデフォルトSSH鍵に脆弱性

Asha Barbaschow (Special to ZDNet.com) 翻訳校正: 編集部

2015-06-29 11:31

 Ciscoの仮想アプライアンス製品で使用されているデフォルトのSSH鍵に2種類の脆弱性が発見された。これらは同社内でのテスト中に発見されたもので、一方の脆弱性を悪用されるとroot権限でシステムにアクセスされる可能性があり、もう一方の脆弱性を悪用されると仮想アプライアンス製品とホスト間のセキュアな通信を傍受される可能性がある。

 Ciscoのアドバイザリによると、脆弱性の影響を受けるのは「Web Security Virtual Appliance(WSAv)」「Email Security Virtual Appliance(ESAv)」「Security Management Virtual Appliance (SMAv)」の3製品。これらの製品で共有されるデフォルトの認証済みSSH鍵と、デフォルトのSSHホスト鍵に脆弱性がある。脆弱性は双方とも、これらの製品にリモートからサポートを提供するための機能に起因している。

 デフォルトの認証済みSSH鍵の脆弱性を攻撃者に悪用されると、不正に入手した秘密鍵によって、root権限でシステムにアクセスされる可能性がある。一方、デフォルトのSSHホスト鍵の脆弱性を攻撃者に悪用されると、影響を受ける仮想アプライアンス製品で送受信されるセキュアな通信を、不正に入手した秘密鍵による中間者攻撃で傍受され、内容を復号化されて読み取られ、場合によっては改ざんされる可能性がある。

 アドバイザリによると、これらの脆弱性に回避策はないが、すでに問題を修正するためのソフトウェアアップデートが用意されている。また、ハードウェアアプライアンス製品と、米国時間6月25日以降にダウンロードまたはアップデートされた仮想アプライアンス製品は、脆弱性の影響を受けないとされている。

 なお、Ciscoは2015年5月に、ネットワーク自体に脅威を検出するセキュリティセンサとしての機能を与え、データセンターのセキュリティを強化し、そこに接続するあらゆるデバイスとユーザーを保護するという構想を打ち出したばかりだった。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]