Cisco Systemsは米国時間11月7日、十数件のセキュリティアップデートを公開した。これには、いわゆるバックドアアカウントに関する問題への対処も含まれている。
Ciscoはこれまでにも同社製品からバックドアアカウントを取り除くセキュリティアップデートを公開しているが、バックドアアカウントが関係する2018年のセキュリティアップデートは以下の通りだ。
- 3月(CVE-2018-0141):「Cisco Prime Collaboration Provisioning(PCP)Software」
- 3月(CVE-2018-0150):「Cisco IOS XE Software」
- 5月(CVE-2018-0222):「Cisco Digital Network Architecture(DNA)Center」
- 6月(CVE-2018-0329):「Cisco Wide Area Application Services(WAAS)Software」
- 7月(CVE-2018-0375):「Cisco Policy Suite」の「Cluster Manager」
- 9月(CVE-2018-15427):「Cisco Video Surveillance Manager(VSM)Software」
- 11月(CVE-2018-15439):「Cisco Small Business Switches」のソフトウェア
上記ケースにおけるほとんどのバックドアアカウントは、工場でソフトウェア/ファームウェアをテストしたり、デバッグした後に残されたデバッグ時の残骸にすぎない。
7件のうちの5件はCiscoの内部テスターらによって発見されたものであり、CVE-2018-0329と、今回のCVE-2018-15439は外部のセキュリティ研究者らによって発見されたものだ。
Ciscoは大規模な内部監査を開始した2015年12月以降、同社のソフトウェアすべてのソースコードを定期的かつ入念に精査している。
Ciscoがこうした精査を開始したきっかけは、同社のライバル企業の1つであるJuniper NetworksのOS「ScreenOS」のソースコード内にバックドアとみられるコードがあることを、複数のセキュリティ研究者らが発見した一件だ。JuniperのScreenOS内のバックドアを利用すれば、攻撃者は遠隔地から、ScreenOSの特定バーションが稼働しているJuniperのデバイスを通過するVPNトラフィックを復号できるようになっていた。
2015年のこの一件はJuniperの評判に大きく影響した。Ciscoが上記7件のセキュリティアドバイザリで「バックドアアカウント」という表現を使っていないのはこれが理由なのかもしれない。これら7件の「バックドアアカウント」に関する説明で同社は、「デフォルトの管理者アカウントのための、文書化されていない静的なユーザー認証」や「影響のあるソフトウェアによって、システム管理者に通知されることなく特権ユーザーアカウントが利用可能になる」という込み入った表現を使用している。
なお、今回発表されたCiscoのセキュリティアップデートには、他にも次の2件の問題への対処が含まれている。それらはいずれも10段階で9.8という深刻度となっている。最初の問題は、Javaのシリアライゼーション/デシリアライゼーションに関する今やおなじみとなったものであり、これにより「Cisco Unity Express」製品上での遠隔地からのコード実行を管理者権限で許すというものだ。そしてもう1つの問題は、「Cisco Stealthwatch Enterprise」の「Cisco Stealthwatch Management Console」システムにおけるセキュアでない設定により、認証がバイパスされるというものだ。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。