シスコが、広く導入されている「Cisco IOS」と「Cisco IOS XE」に存在する、深刻度が「High」と設定された10件以上のセキュリティの脆弱性について明らかにしている。そのうち1件は、産業用ルーターとグリッドルーターに影響があるという。
Ciscoは管理者に、デバイスで動作しているCisco IOSとCisco IOS XEのバージョンを確認し、これら13件の脆弱性に対処したアップデートが適用されている状態にするよう勧告している。
これらの脆弱性に関する情報は、同社が年2回、Cisco IOSおよびCisco IOS XEのセキュリティ情報を提供するセキュリティアドバイザリーバンドルで公表された。
12件のアドバイザリーで、深刻度が「High」とされている13件の脆弱性について詳述している。攻撃者によるデバイスへの不正アクセスや、コマンドインジェクション攻撃、DoS(サービス拒否)攻撃が可能になる恐れがあるという。
「Critical」(深刻)と評価された脆弱性はないものの、Cisco IOSのIOxアプリケーション環境の脆弱性「CVE-2019-12648」は、10を最大とするCVSS 3.0スコアで9.9と評価された。
この脆弱性は、「Cisco 800」シリーズ産業用サービス統合型ルーターと、「Cisco 1000」シリーズ Connected Gridルーターを利用しているネットワーク運用者に影響する。
このCVSSスコアは通常「Critical」のレーティングに対応するが、この脆弱性は、影響を受けるCisco IOSデバイスの仮想マシンで動作する、ゲストオペレーティングシステム内に含まれているとCiscoは説明している。攻撃者がIOSそのものに対して管理者権限のアクセスを得ることはないという。
しかし回避策はないため、ユーザーは修正されたCisco IOSを動作させる必要がある。すぐにアップグレードを適用できない場合は、ゲストOSを無効にして、「攻撃ベクトルを排除」することで、影響を軽減できるとしている。ゲストOSをアンインストールできる手段についても説明している。
Ciscoはほかにも、Cisco IOSとCisco IOS XEのレイヤー2(L2)tracerouteユーティリティーの問題について「Informational」のアドバイザリーを公開している。この機能は「Cisco Catalyst」スイッチ用のCisco IOSとCisco IOS XEでデフォルトで有効になっている。同社は、公開されたエクスプロイトコードがあることを認識しているという。
Ciscoによると、L2 tracerouteサーバーは認証が不要であり、攻撃者はホスト名、ハードウエアモデル、設定済みインタフェース、IPアドレス、VLANデータベース、MACアドレステーブル、Layer 2フィルタリングテーブルなど、影響を受けたデバイスの情報を取得できる恐れがある。
Ciscoは、「ネットワーク内の複数のスイッチからこうした情報を読み取ることで、攻撃者はそのネットワークの完全なL2トポロジーマップを作成できる恐れがある」と警告している。
Ciscoはアドバイザリーで、L2 tracerouteサーバーのセキュリティを確保する手段について情報を提供している。サーバーを無効にする、デフォルトでレイヤー2tracerouteサーバーが無効になっているバージョンのCisco IOSとCisco IOS XEにアップグレードすることなどについて説明している。
しかし、デフォルトで無効になっているバージョンへのアップグレードは、年末ごろ以降に可能になるようだ。「Cisco IOS 15.2(7)E1」「Cisco IOS XE 3.11.1E」は2019年12月以降、「Cisco IOS XE 17.2.1」は2020年3月のリリース予定とされている。それまでは、コントロールプレーンポリシング(CoPP)やアクセスコントロールリストによってアクセスを制限するオプションがある。
半年に1度のIOSとIOS XEのセキュリティアドバイザリーバンドルには深刻度が「Critical」や「High」のアップデートの情報が含まれている。「Informational」のアップデートのほか、Ciscoは「Medium」の脆弱性に関する十数件のアドバイザリーもリリースしている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。