Cisco Systemsは米国時間3月2日、同社のネットワーク機器にデフォルトのパスワードでアクセスできるという深刻な脆弱性の存在をセキュリティアドバイザリにおいて公表するとともに、その問題に対処するパッチを公開した。
この脆弱性は「Cisco Nexus 3000」シリーズスイッチと「Cisco Nexus 3500」プラットフォームスイッチに存在している。アドバイザリによると、ルート権限でbashシェルにアクセスできるユーザーアカウントがインストール時に作成されるものの、デフォルトで設定されるパスワードは固定値となっており、機器の機能に影響を与えることなく変更できない問題を抱えているという。
この「深刻な脆弱性」により、攻撃者はデフォルトのアカウントと固定のパスワードを用いることでローカル環境から、あるいはTelnetやSSHを用いてルート権限で機器にログインできるようになるという。
このデフォルトアカウントでログインすると、攻撃者は管理者権限を入手し、機器を完全に制御できるようになる。
同社はデフォルトアカウントと固定のパスワードを削除するソフトウェアパッチを公開した。対象となるのはCisco Nexus 3000シリーズスイッチ上で、NX-OSソフトウェアのリリース6.0(2)U6(1)や6.0(2)U6(2)、6.0(2)U6(3)、6.0(2)U6(4)、6.0(2)U6(5)が稼働する製品と、Cisco Nexus 3500プラットフォームスイッチ上で、NX-OSソフトウェアのリリース6.0(2)A6(1)、6.0(2)A6(2)、6.0(2)A6(3)、6.0(2)A6(4)、6.0(2)A6(5)、6.0(2)A7(1)が稼働する製品となっている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
