編集部からのお知らせ
解説:広がるエッジAIの動向
Check! ディープラーニングを振り返る

シスコ、「Network Assurance Engine」の脆弱性を修正--アップデートを呼びかけ

Liam Tung (Special to ZDNet.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ)

2019-02-14 13:10

 Cisco Systemsは、データセンターネットワークを管理する「Network Assurance Engine」(NAE)に影響を与える重大な問題を解決するアップデートをインストールするよう、顧客に呼びかけている。

 攻撃者がこの脆弱性「CVE-2019-1688」を悪用すれば、NAEのパスワード管理システムの脆弱性を利用して、NAEのサーバをダウンさせ、サービス拒否(DoS)を引き起こせる。

 NAEは重要なデータセンターネットワーク管理ツールで、管理者が変更によるネットワークへの影響を検証して障害を防ぐのに役立つ。

 Ciscoが説明しているように、CVE-2019-1688の原因は、ウェブ管理インタフェースからユーザーのパスワードを変更しても、コマンドラインインターフェース(CLI)に伝わらず、CLIでは古いデフォルトのパスワードのままになる点だ。影響を受けるのはNAEのバージョン3.0 (1)だけで、それ以前のバージョンは影響を受けない。

 ローカルの攻撃者は、影響を受けたサーバのCLIでデフォルトの管理者パスワードを使って認証を受けることにより、この脆弱性を悪用して機密情報を閲覧したり、サーバをダウンさせたりできる。

 CVE-2019-1688は、「Cisco NAE Release 3.0(1a)」で修正されているが、適切に修正するために、このバージョンにアップグレードした後で管理者パスワードを変更すべきだとCiscoは述べている。

 Ciscoは、CVE-2019-1688の回避策も用意している。デフォルトの管理者パスワードをCLIから変更するのだ。だが、Ciscoは顧客に対して、遠隔サポートセッションの下で安全にデフォルトのパスワードを入力できるよう、Technical Assistance Centerに問い合わせることを推奨している。パスワードの変更は、クラスタ内にあるすべてのノードで実行する必要があるという。

 幸いなことに、Ciscoのセキュリティチームが知る限り、CVE-2019-1688を利用した実際の攻撃は起こってない。この脆弱性は、Ciscoの社内におけるセキュリティテスト中に発見された。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]