Cisco Systemsは、データセンターネットワークを管理する「Network Assurance Engine」(NAE)に影響を与える重大な問題を解決するアップデートをインストールするよう、顧客に呼びかけている。
攻撃者がこの脆弱性「CVE-2019-1688」を悪用すれば、NAEのパスワード管理システムの脆弱性を利用して、NAEのサーバをダウンさせ、サービス拒否(DoS)を引き起こせる。
NAEは重要なデータセンターネットワーク管理ツールで、管理者が変更によるネットワークへの影響を検証して障害を防ぐのに役立つ。
Ciscoが説明しているように、CVE-2019-1688の原因は、ウェブ管理インタフェースからユーザーのパスワードを変更しても、コマンドラインインターフェース(CLI)に伝わらず、CLIでは古いデフォルトのパスワードのままになる点だ。影響を受けるのはNAEのバージョン3.0 (1)だけで、それ以前のバージョンは影響を受けない。
ローカルの攻撃者は、影響を受けたサーバのCLIでデフォルトの管理者パスワードを使って認証を受けることにより、この脆弱性を悪用して機密情報を閲覧したり、サーバをダウンさせたりできる。
CVE-2019-1688は、「Cisco NAE Release 3.0(1a)」で修正されているが、適切に修正するために、このバージョンにアップグレードした後で管理者パスワードを変更すべきだとCiscoは述べている。
Ciscoは、CVE-2019-1688の回避策も用意している。デフォルトの管理者パスワードをCLIから変更するのだ。だが、Ciscoは顧客に対して、遠隔サポートセッションの下で安全にデフォルトのパスワードを入力できるよう、Technical Assistance Centerに問い合わせることを推奨している。パスワードの変更は、クラスタ内にあるすべてのノードで実行する必要があるという。
幸いなことに、Ciscoのセキュリティチームが知る限り、CVE-2019-1688を利用した実際の攻撃は起こってない。この脆弱性は、Ciscoの社内におけるセキュリティテスト中に発見された。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
