シスコ、「IOS」のセキュリティ情報--深刻度の高い脆弱性にも対処

Liam Tung (Special to ZDNET.com) 翻訳校正: 編集部

2019-09-27 12:16

 シスコが、広く導入されている「Cisco IOS」と「Cisco IOS XE」に存在する、深刻度が「High」と設定された10件以上のセキュリティの脆弱性について明らかにしている。そのうち1件は、産業用ルーターとグリッドルーターに影響があるという。

 Ciscoは管理者に、デバイスで動作しているCisco IOSとCisco IOS XEのバージョンを確認し、これら13件の脆弱性に対処したアップデートが適用されている状態にするよう勧告している。

 これらの脆弱性に関する情報は、同社が年2回、Cisco IOSおよびCisco IOS XEのセキュリティ情報を提供するセキュリティアドバイザリーバンドルで公表された。

 12件のアドバイザリーで、深刻度が「High」とされている13件の脆弱性について詳述している。攻撃者によるデバイスへの不正アクセスや、コマンドインジェクション攻撃、DoS(サービス拒否)攻撃が可能になる恐れがあるという。

 「Critical」(深刻)と評価された脆弱性はないものの、Cisco IOSのIOxアプリケーション環境の脆弱性「CVE-2019-12648」は、10を最大とするCVSS 3.0スコアで9.9と評価された。

 この脆弱性は、「Cisco 800」シリーズ産業用サービス統合型ルーターと、「Cisco 1000」シリーズ Connected Gridルーターを利用しているネットワーク運用者に影響する。

 このCVSSスコアは通常「Critical」のレーティングに対応するが、この脆弱性は、影響を受けるCisco IOSデバイスの仮想マシンで動作する、ゲストオペレーティングシステム内に含まれているとCiscoは説明している。攻撃者がIOSそのものに対して管理者権限のアクセスを得ることはないという。

 しかし回避策はないため、ユーザーは修正されたCisco IOSを動作させる必要がある。すぐにアップグレードを適用できない場合は、ゲストOSを無効にして、「攻撃ベクトルを排除」することで、影響を軽減できるとしている。ゲストOSをアンインストールできる手段についても説明している。

 Ciscoはほかにも、Cisco IOSとCisco IOS XEのレイヤー2(L2)tracerouteユーティリティーの問題について「Informational」のアドバイザリーを公開している。この機能は「Cisco Catalyst」スイッチ用のCisco IOSとCisco IOS XEでデフォルトで有効になっている。同社は、公開されたエクスプロイトコードがあることを認識しているという。

 Ciscoによると、L2 tracerouteサーバーは認証が不要であり、攻撃者はホスト名、ハードウエアモデル、設定済みインタフェース、IPアドレス、VLANデータベース、MACアドレステーブル、Layer 2フィルタリングテーブルなど、影響を受けたデバイスの情報を取得できる恐れがある。

 Ciscoは、「ネットワーク内の複数のスイッチからこうした情報を読み取ることで、攻撃者はそのネットワークの完全なL2トポロジーマップを作成できる恐れがある」と警告している。

 Ciscoはアドバイザリーで、L2 tracerouteサーバーのセキュリティを確保する手段について情報を提供している。サーバーを無効にする、デフォルトでレイヤー2tracerouteサーバーが無効になっているバージョンのCisco IOSとCisco IOS XEにアップグレードすることなどについて説明している。

 しかし、デフォルトで無効になっているバージョンへのアップグレードは、年末ごろ以降に可能になるようだ。「Cisco IOS 15.2(7)E1」「Cisco IOS XE 3.11.1E」は2019年12月以降、「Cisco IOS XE 17.2.1」は2020年3月のリリース予定とされている。それまでは、コントロールプレーンポリシング(CoPP)やアクセスコントロールリストによってアクセスを制限するオプションがある。

 半年に1度のIOSとIOS XEのセキュリティアドバイザリーバンドルには深刻度が「Critical」や「High」のアップデートの情報が含まれている。「Informational」のアップデートのほか、Ciscoは「Medium」の脆弱性に関する十数件のアドバイザリーもリリースしている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

  5. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]