編集部からのお知らせ
ZDNet Japanが新しくなりました!
New! 懸念高まる産業機器のセキュリティ

シスコ、セキュリティアップデート公開--バックドアアカウント関連の対処含む

Catalin Cimpanu (ZDNet.com) 翻訳校正: 編集部

2018-11-08 10:45

 Cisco Systemsは米国時間11月7日、十数件のセキュリティアップデートを公開した。これには、いわゆるバックドアアカウントに関する問題への対処も含まれている。

 Ciscoはこれまでにも同社製品からバックドアアカウントを取り除くセキュリティアップデートを公開しているが、バックドアアカウントが関係する2018年のセキュリティアップデートは以下の通りだ。

 上記ケースにおけるほとんどのバックドアアカウントは、工場でソフトウェア/ファームウェアをテストしたり、デバッグした後に残されたデバッグ時の残骸にすぎない。

 7件のうちの5件はCiscoの内部テスターらによって発見されたものであり、CVE-2018-0329と、今回のCVE-2018-15439は外部のセキュリティ研究者らによって発見されたものだ。

 Ciscoは大規模な内部監査を開始した2015年12月以降、同社のソフトウェアすべてのソースコードを定期的かつ入念に精査している。

 Ciscoがこうした精査を開始したきっかけは、同社のライバル企業の1つであるJuniper NetworksのOS「ScreenOS」のソースコード内にバックドアとみられるコードがあることを、複数のセキュリティ研究者らが発見した一件だ。JuniperのScreenOS内のバックドアを利用すれば、攻撃者は遠隔地から、ScreenOSの特定バーションが稼働しているJuniperのデバイスを通過するVPNトラフィックを復号できるようになっていた。

 2015年のこの一件はJuniperの評判に大きく影響した。Ciscoが上記7件のセキュリティアドバイザリで「バックドアアカウント」という表現を使っていないのはこれが理由なのかもしれない。これら7件の「バックドアアカウント」に関する説明で同社は、「デフォルトの管理者アカウントのための、文書化されていない静的なユーザー認証」や「影響のあるソフトウェアによって、システム管理者に通知されることなく特権ユーザーアカウントが利用可能になる」という込み入った表現を使用している。

 なお、今回発表されたCiscoのセキュリティアップデートには、他にも次の2件の問題への対処が含まれている。それらはいずれも10段階で9.8という深刻度となっている。最初の問題は、Javaのシリアライゼーション/デシリアライゼーションに関する今やおなじみとなったものであり、これにより「Cisco Unity Express」製品上での遠隔地からのコード実行を管理者権限で許すというものだ。そしてもう1つの問題は、「Cisco Stealthwatch Enterprise」の「Cisco Stealthwatch Management Console」システムにおけるセキュアでない設定により、認証がバイパスされるというものだ。

Cisco

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]