CISAが警告するCisco Smart Installの悪用手口｜ネットワーク機器を守る対策とは

古いCisco機能が標的になっている

また。

また、米国のサイバーセキュリティ・インフラセキュリティ庁（CISA）が。Ciscoネットワーク機器の古い機能「Smart Install（SMI）」を悪用する攻撃が増加していると警告を出した。Smart Installは本来。

さらに、Ciscoスイッチの初期設定を自動化するための便利な機能だが。

つまり、認証なしでリモートからアクセスできてしまうという設計上の問題を抱えている。

さらに。

そのため、Smart Installプロトコルは。ゼロタッチプロビジョニング（手動設定なしで機器をネットワークに参加させる仕組み）を実現するために開発された。しかし。

具体的には、このプロトコルにはデフォルトで認証機構がなく。

たとえば、TCPポート4786で待ち受ける状態になっている機器が多い。

つまり。

なお、攻撃者はこの仕組みを悪用して。ネットワーク機器の設定ファイルを不正に取得する。設定ファイルには。

一方で、VLAN情報、ルーティング設定。

ただし、そして最悪の場合はパスワードやSNMPコミュニティ文字列などの認証情報が含まれている。

そのため、CISAはまた。

このように、多くの組織でCiscoデバイスにおける弱いパスワードの使用が続いていることも指摘した。Cisco Type 8のパスワードハッシュではなく。

特に、より脆弱なType 0やType 7のハッシュが依然として使われているケースが多いという。

具体的には、実際の攻撃事例では。

実際に、取得した設定情報を足がかりにしてネットワーク内部への侵入が行われている。特に。

加えて、VPN設定やAAA（認証・認可・アカウンティング）サーバーの情報が漏洩すると。

組織のネットワーク全体が危険にさらされることになる。

たとえば。

国家支援型の攻撃グループがこの手法を利用しているという報告もあり。単なる個人ハッカーの遊びではなく。

組織的なサイバースパイ活動の一環として悪用されている可能性が高い。

CISAが推奨する対策は明確だ。まず。Smart Install機能を使用していないなら無効化すること。Ciscoデバイスで以下のコマンドを実行するだけだ。

no vstack

次に、パスワードの保存方式を確認し。

Type 8（PBKDF2ベース）のハッシュを使用するよう設定を変更すること。Type 0（平文）やType 7（可逆暗号化）は論外だ。

さらに。

ネットワーク機器へのアクセスをACL（アクセスコントロールリスト）で制限し。

管理用インターフェースへの接続元を限定すること。TCPポート4786への外部からのアクセスはファイアウォールでブロックするべきだ。

サーバーやエンドポイントのセキュリティには注意を払っても。ネットワーク機器のセキュリティは後回しにされがちだ。しかし。

ルーターやスイッチはネットワークの要であり、ここが突破されれば被害は甚大になる。

定期的なファームウェアの更新。設定の監査、不要なサービスの無効化。地味な作業だが。

こうした基本を徹底することがサイバー攻撃から組織を守る最も確実な方法だ。