日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco GuardおよびCisco Traffic Anomaly Detectorソフトウェアには、管理アカウント用のデフォルトパスワードが含まれています。このパスワードは、Cisco GuardおよびTraffic Anomaly Detector Distributed Denial of Service(DDoS)緩和アプライアンスで使用されるソフトウェアのインストール中に、ユーザの介入なしに設定されます。このパスワードは、製品のすべてのインストールで同じです。
Cisco GuardおよびTraffic Anomaly Detectorのソフトウェアバージョン3.0以前はこの脆弱性の影響を受けます。バージョン3.1以降のソフトウェアを実行しているお客様は該当しません。デバイスのリブートを必要としない回避策など、利用可能な回避策があります。シスコでは、この問題に対処する無償のソフトウェアを提供しています。
この脆弱性は、Cisco Bug ID CSCeg12167(登録ユーザ専用)およびCSCeg12188(登録ユーザ専用)に記載されています。
このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20041215-guardで確認できます。
該当製品
このセクションには、該当製品に関する詳細が掲載されています。
脆弱性のある製品
バージョン3.1より前のCisco GuardおよびCisco Traffic Anomaly Detector用ソフトウェアのすべてのバージョンが、この脆弱性の影響を受けます。
Cisco GuardおよびCisco Traffic Anomaly Detector DDoS緩和アプライアンスで実行されているソフトウェアバージョンを確認するには、次の3つの方法があります。
-
仮想端末またはローカルシリアルコンソール接続
-
リモートセキュアシェル(SSH)接続
-
リモートセキュアWebセッション
次に、各方式の例を示します。特定の環境およびネットワーク設定に適用する方式を選択する必要があります。
-
ローカル・シリアル・コンソールを通じてソフトウェアのバージョン番号を確認するには、シリアル・ケーブルとターミナル・エミュレーション・プログラムを使用してアプライアンスに接続します。接続されたら、端末のEnterキーを押します。すると、GuardとTraffic Anomaly Detectorは、ログインさえも行わずに、デバイスで稼働しているソフトウェアのバージョンを表示します。
この例では、Cisco Guardはソフトウェアバージョン3.1を実行しています。Cisco Guard Version 3.1(0.12) GUARD login:
仮想端末の場合も手順は同じですが、シリアル・ケーブルや端末エミュレーション・プログラムは必要ありません(標準のキーボードとモニターはアプライアンスに直接接続されています)。
-
SSHセッションを通じてソフトウェアバージョン番号を取得するには、SSHクライアントを使用してCisco GuardまたはCisco Traffic Anomaly Detectorにログインし、show versionコマンドラインインターフェイス(CLI)コマンドを発行します。次の例は、Cisco Traffic Anomaly Detectorとのインタラクションを示しています。
この例では、Cisco Traffic Anomaly Detectorがソフトウェアバージョン3.1を実行しています。prompt$ ssh admin@detector.example.com admin@detector.example.com's password: Last login: Wed Nov 24 22:45:53 on ttyS0 admin@DETECTOR#show version Copyright (c) 2000-2004 Cisco Systems, Inc. All rights reserved. Software License Agreement [...] Cisco Anomaly Detector Release: 3.1(0.12) Date: 2004/10/27 19:58:14 DETECTOR uptime is 3 weeks, 3 days, 17 hours, 53 minutes System Serial Number: XXXXXXX Contact Information: Cisco Systems Inc. riverhead-support@cisco.com admin@DETECTOR#
-
Cisco GuardとCisco Traffic Anomaly DetectorがセキュアなWebインターフェイスを通じて実行しているソフトウェアバージョンを取得するには、WebブラウザでURL https://<GuardまたはDetectorのIPアドレス>/を開いてログインし、ブラウザウィンドウの右上にあるAboutリンクをクリックします。
脆弱性を含んでいないことが確認された製品
これらの特定のデフォルトアカウント/パスワードを作成する他のシスコ製品は、現在確認されていません。
詳細
Cisco GuardおよびCisco Traffic Anomaly Detectorは、分散型サービス拒否(DDoS)攻撃を軽減するアプライアンスです。DDoS攻撃の可能性を検出し、正当なトラフィックのフローに影響を与えることなく、監視対象のネットワーク宛ての攻撃トラフィックを迂回させます。
Cisco GuardとCisco Anomaly Traffic Detectorアプライアンスは、どちらも仮想端末(アプライアンスに直接接続された標準のキーボードとモニタ)、ローカルシリアルコンソール、リモートSSH接続、および/またはリモートのセキュアなWebセッションを介して管理できます。ほとんどの管理タスクおよびトラブルシューティングタスクは、ほとんどのシスコ製品と同様のCLIインターフェイスを介して実行されますが、標準のCLIでカバーされていない特定の管理タスクおよびトラブルシューティングタスクを実行できるように、特別な管理アカウントが用意されています。管理アカウントのユーザ名は、UNIXオペレーティングシステムのスーパーユーザと同様にrootです。
このアカウントのデフォルトパスワードは、3.1より前のすべてのバージョンのCisco GuardおよびCisco Traffic Anomaly Detectorのすべてのインストールで同じです。このデフォルトパスワードは、パスワードのセキュリティ上のベストプラクティスに従って、文字、数字、および記号の組み合わせで構成されますが、セキュリティを強化するためにこのパスワードを変更することをお勧めします。
ここで説明されている脆弱性は、Cisco GuardについてはCisco Bug ID CSCeg12167(登録ユーザ専用)に、Cisco Traffic Anomaly DetectorについてはCisco Bug ID CSCeg12188(登録ユーザ専用)に記載されています。
回避策
このドキュメントで説明されている脆弱性は、該当するCisco GuardおよびCisco Traffic Anomaly Detector DDoS緩和アプライアンスにログインし、管理rootアカウントのデフォルトパスワードをユーザが選択した強力なパスワードに変更することで、完全に排除できます。
デフォルトのパスワードを変更するには、rootユーザとしてログインした後、passwdコマンドを実行する必要があります。次のインタラクションは、SSHを介して実行されるCisco Traffic Anomaly Detectorのパスワード変更ダイアログの例を示しています。
prompt$ ssh root@detector.example.com root@detector.example.com's password: Last login: Tue Nov 23 15:48:13 on ttyS0 [root@DETECTOR root]# passwd Changing password for user root. New password: <new password typed in here> Retype new password: <new password typed in here> passwd: all authentication tokens updated successfully.
この手順を実行するには、デフォルトのパスワードが必要です。このパスワードを取得するには、Cisco TACに連絡する必要があります。サービスの利用資格が確認されるので、製品のシリアル番号を確認し、この通知のURLを入力してください。
デフォルトパスワードの変更後、Cisco GuardおよびTraffic Anomaly Detectorはデフォルトパスワードを使用したrootログインを受け付けません。
新しいパスワードを有効にするためにリブートする必要はないので、ネットワーク動作が中断されることはありません。
該当するお客様がシスコに連絡してデフォルトパスワードを取得することを希望されない場合は、パスワード回復手順を実行して管理アカウントのパスワードを変更できます。この手順は、次の場所で説明されています。
http://cisco.com/en/US/products/ps5887/products_password_recovery09186a008037942b.shtml
セキュリティのベストプラクティスとして、SSHおよびWebベースの管理サービスへの接続を、管理者が設定した特定のIPネットワークに制限するアクセス制御機能を使用することが推奨されています。この機能をイネーブルにする方法の詳細については、使用しているCisco GuardおよびCisco Traffic Anomaly Detectorのドキュメント、特にpermit wbmコマンドとpermit sshコマンドを参照してください。上記のようにデフォルトパスワードを変更しても脆弱性を完全に排除できない場合は、これらのアクセス制御メカニズムを使用することで脆弱性を緩和できる可能性があります。
修正済みソフトウェア
ソフトウェアのアップグレードを必要としない回避策もありますが、シスコはこのドキュメントで説明されている脆弱性に対処する無償のソフトウェアを提供しています。
Cisco GuardおよびCisco Traffic Anomaly Detectorソフトウェアのバージョン3.1以降では、新規インストールの後、または以前のバージョンからのアップグレードの後に、rootアカウントのデフォルトパスワードが変更されません。これは、バージョン3.1以降では、インストール/アップグレード手順でユーザが管理アカウントのパスワードを選択する必要があるためです。
注:バージョン3.1へのアップグレード手順は、アウトオブバンドインターフェイスからのみ実行できます。
ソフトウェアのアップグレードを検討する場合は、http://www.cisco.com/en/US/products/products_security_advisories_listing.htmlおよび後続のアドバイザリも参照して、侵害を受ける可能性と完全なアップグレードソリューションを確認してください。
いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報が不明な場合は、Cisco Technical Assistance Center(TAC)にお問い合わせください。
該当するお客様がソフトウェアをアップグレードできない場合は、「回避策」セクションで説明した回避策を適用することで、この脆弱性を完全に排除できます。
推奨事項
不正利用事例と公式発表
Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。
この脆弱性は内部コード監査中に発見されました。
URL
改訂履歴
|
リビジョン 1.0 |
2004-December-15 |
初回公開リリース |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。