アメリカのサイバーセキュリティ機関CISAが警告を発しました。Ciscoネットワーク機器の「Smart Install」機能が悪用されているのです。攻撃者はこの機能を利用してシステム設定ファイルを盗み出しています。しかも、この問題は5年以上前から知られていました。それでも6000台以上の機器が依然として露出しています。CISAの警告内容と対策を詳しく解説します。
Cisco Smart Installとは何か
Smart InstallはCiscoスイッチの自動設定機能です。新しいスイッチをネットワークに接続するだけで自動的にセットアップできます。つまり、ネットワーク管理者の手間を省くための機能です。しかし、この便利な機能にセキュリティ上の欠陥がありました。
具体的には、認証なしで設定変更が可能な点です。Smart Installプロトコルには認証機構がありません。そのため、ネットワークに到達できれば誰でも操作できてしまいます。さらに、設定ファイルのダウンロードも可能です。なぜなら、この機能はもともと社内ネットワークでの利用を想定していたからです。
CISAが警告する悪用の実態
CISAは2024年8月に新たな警告を発しました。攻撃者がSmart Install機能を悪用し続けているという内容です。実際に、企業のネットワーク機器から設定ファイルが盗まれています。設定ファイルにはパスワード情報が含まれることがあります。そのため、ネットワーク全体が侵害されるリスクがあるのです。
さらに、Shadowserverの調査では衝撃的な数字が出ています。6000台以上のIPアドレスでSmart Installが露出していました。つまり、インターネットから直接アクセスできる状態です。しかも、この問題は2019年にNSA(国家安全保障局)も警告していました。このように、5年経っても対策が進んでいない現状があります。
関連する脆弱性 CVE-2024-20419の深刻さ
Smart Installの問題に加えて、関連する脆弱性も報告されています。CVE-2024-20419は深刻度スコア10.0の最高レベルです。この脆弱性を悪用すると管理者パスワードを変更できます。しかも、認証なしで実行可能です。つまり、リモートから完全に機器を乗っ取れるのです。
Ciscoはこの脆弱性に対するパッチを公開しています。しかし、すべてのユーザーが適用しているとは限りません。特にレガシー機器では更新が困難な場合もあります。だからこそ、CISAは繰り返し注意喚起を行っているのです。
Cisco Smart Installの悪用を防ぐ具体的な対策
CISAが推奨する対策は明確です。まず、Smart Install機能を無効化しましょう。使用していないなら切るのが最善です。具体的には、「no vstack」コマンドで無効化できます。また、使用中でもアクセスリストで制限すべきです。
さらに、パスワードの保護方式も見直しましょう。CISAはType 8パスワード保護を推奨しています。これはPBKDF2ベースの安全なハッシュ方式です。従来のType 7は簡単に解読できてしまいます。したがって、Type 8への移行が重要です。
加えて、ネットワーク機器のファームウェアも最新に保ちましょう。また、不要なサービスやポートは閉じてください。特にインターネットに露出している機器は要注意です。とはいえ、対策自体は難しくありません。要するに、基本的なセキュリティ対策を確実に実行することが最も効果的なのです。
ネットワーク機器のセキュリティを見直す重要性
この問題はネットワーク機器管理の重要性を示しています。サーバーやPCのセキュリティには気を配ります。しかし、スイッチやルーターは見落とされがちです。実際、初期設定のまま運用されている機器は少なくありません。
しかも、ネットワーク機器への攻撃は検知が難しいです。通常の監視ツールでは見逃されることがあります。だからこそ、定期的な設定レビューが欠かせません。CISAの警告を機に、自社のネットワーク機器を見直してみてはいかがでしょうか。