CISAが古いCisco Smart Install機能を悪用するハッカーに警告

米国サイバーセキュリティおよびインフラセキュリティ庁（CISA）は、脅威者が古いCisco Smart Install（SMI）機能を悪用して機密データにアクセスしようとしていることを明らかにしました。同庁によれば、敵対者は「利用可能なプロトコルやデバイス上のソフトウェアを利用してシステム構成ファイルを取得することがある」としています。特に、古いCisco Smart Install機能を悪用しているとのことです。

また、CISAはCiscoネットワークデバイス上で弱いパスワードの使用が続いていることを観察しており、これによりパスワードクラッキング攻撃に対して脆弱であると警告しています。パスワードの種類とは、Ciscoデバイスのパスワードをシステム構成ファイル内で保護するために使用されるアルゴリズムを指します。この方法でデバイスにアクセスできる脅威者は、システム構成ファイルに簡単にアクセスでき、被害者のネットワークへのさらなる侵入を助長することになります。

「組織は、すべてのネットワークデバイス上のパスワードが十分な保護レベルで保存されることを確保しなければなりません」とCISAは述べており、「すべてのCiscoデバイスに対しては、構成ファイル内のパスワードを保護するためにタイプ8のパスワード保護を推奨します」と付け加えています。また、企業に対して国立安全保障局（NSA）のSmart Installプロトコルの不正使用に関する助言およびネットワークインフラセキュリティガイドを確認し、構成ガイダンスを得るよう促しています。

追加のベストプラクティスには、パスワードを保存するために強力なハッシングアルゴリズムを使用すること、パスワードの使い回しを避けること、強力で複雑なパスワードを割り当てること、責任を持たないグループアカウントの使用を控えることが含まれます。

この発展は、CiscoがSmart Software Manager On-Prem（Cisco SSM On-Prem）に影響を与える重大な欠陥CVE-2024-20419（CVSSスコア: 10.0）のPoCコードが公に利用可能になったことを警告したことに関連しています。この脆弱性により、リモートの認証されていない攻撃者が任意のユーザーのパスワードを変更できる可能性があります。

ネットワーク機器の大手は、Small Business SPA300シリーズおよびSPA500シリーズのIP電話における複数の重大な欠陥（CVE-2024-20450、CVE-2024-20452、CVE-2024-20454、CVSSスコア: 9.8）についても警告しており、これにより攻撃者が基盤となるオペレーティングシステム上で任意のコマンドを実行したり、サービス妨害（DoS）状態を引き起こす可能性があります。

「これらの脆弱性は、受信したHTTPパケットがエラーのチェックを正しく行わないために存在し、バッファオーバーフローを引き起こす可能性があります」とCiscoは2024年8月7日に発表した通知で述べています。「攻撃者は、この脆弱性を悪用して影響を受けたデバイスに対して特別に作成したHTTPリクエストを送信することができます。成功した場合、攻撃者は内部バッファをオーバーフローさせ、ルート権限レベルで任意のコマンドを実行できる可能性があります。」同社は、これらの欠陥に対処するためのソフトウェアアップデートをリリースする意図がないと述べており、機器がエンドオブライフ（EoL）状態に達しているため、ユーザーは新しいモデルに移行する必要があるとしています。