CiscoルータのWebセットアップが安全でないデフォルトのIOS設定で出荷される

Cisco Router Web Setup(CRWS)アプリケーションに付属するデフォルトのCisco IOS設定では、認証資格情報を必要とせずに、Cisco IOS HTTP（ハイパーテキスト転送プロトコル）サーバのWebインターフェイスから特権レベル15でコマンドを実行できます。特権レベル15は、Cisco IOS®デバイスの最高の特権レベルです。

修正済みバージョンのCRWSアプリケーションは、より安全なデフォルトIOS設定と、Cisco IOS HTTPサーバWebインターフェイスに関する追加機能を提供するためにシスコによって修正されています。

この問題には、Cisco IOSソフトウェアのアップグレードやCRWSソフトウェアのアップグレードは必要ありません。修正済みバージョンのCRWSにアップグレードして新しいデフォルトのIOS設定を導入する場合は、推奨される回避策を導入する必要はありません。CRWSの修正済みバージョンにアップグレードしないことを選択した場合、または既存の設定を維持したままCRWSの修正済みバージョンにアップグレードした場合は、このアドバイザリで説明されている回避策を実装する必要があります。

CRWSアプリケーションとともに出荷された新しいデフォルトのIOS設定の詳細については、このアドバイザリの「詳細」の項を参照してください。

このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20060712-crws で公開されています。

Cisco Router Web Setup Tool(CRWS)は、Cisco SOHOおよびCisco 800シリーズルータを設定するためのグラフィカルユーザインターフェイス(GUI)を提供し、ユーザがルータを迅速かつ簡単に設定できるようにします。GUIには、Cisco IOS HTTPサーバを介してアクセスします。このサーバは、CRWSアプリケーションに同梱されているデフォルトのIOS設定で有効になっています。

Cisco IOS HTTPサーバは、デフォルトの認証メカニズムとしてenable password（設定されていると仮定）を使用します。ローカルユーザデータベース、外部RADIUS(Remote Authentication Dial In User Service)、または外部TACACS+(Terminal Access Controller Access Control System)サーバを使用するなど、その他の認証メカニズムを設定できます。CRWSアプリケーションに同梱されているデフォルトのIOS設定には、enable passwordコマンドもenable secretコマンドも含まれていないため、認証クレデンシャルを入力しなくても、特権レベル15までの任意の特権レベルでCisco IOS HTTPサーバインターフェイスにアクセスできます。特権レベル15は、Cisco IOSデバイスの最高の特権レベルです。

この脆弱性を解決するために、シスコはCRWSアプリケーションに付属のデフォルトIOS設定とCRWSアプリケーション自体に変更を加えました。これらの変更は次のとおりです。

• デバイスの初期設定で使用されるデフォルトのユーザ名とパスワードの組み合わせの追加。
  

  注： CRWSは、最初の呼び出し時にユーザに対してこれらのデフォルトのクレデンシャルを変更するように求めます。デバイス設定にCRWSアプリケーションを使用する予定がない場合は、Cisco IOS CLI（コマンドラインインターフェイス）を使用して、デバイス設定からデフォルトのクレデンシャルを削除することを強くお勧めします。

• ローカルユーザデータベースに基づいてユーザを認証するための、Cisco IOS HTTPサーバの認証メカニズムの追加。
  
  
• CRWSに同梱されているデフォルトのIOS設定のアドレッシング方式を使用して、内部ネットワークからCisco IOS HTTPサーバへの接続のみを許可するアクセス制限を追加すること。
  
  
• ログインバナーの追加。Telnetまたはコンソールポートを介したデバイスへの接続に表示され、デフォルトのクレデンシャルを削除するようユーザに促します。
  
  
• ローカルユーザデータベースに基づいてユーザを認証するための、コンソールポートへの認証メカニズムの追加。
  
  
• CRWSアプリケーションを変更して、ユーザがCRWS GUIに初めてアクセスするときにデフォルトのクレデンシャルを変更するように強制すること。
  
  
• ユーザがパブリックインターフェイスからIOS HTTPサーバインターフェイスへのアクセスを有効または無効にできるようにCRWSアプリケーションを変更。
  

この脆弱性は、Cisco Bug ID

• CSCsa78190(登録ユーザ専用)
  

注：  使用可能な回避策を実装するには、ソフトウェアの修正済みバージョンにアップグレードする場合でも、既存のCRWSのお客様に対してこの脆弱性の影響を緩和するための手動設定が必要です。

設定と管理にCRWSを使用しているデバイスは、次の条件が満たされている場合、この脆弱性の影響を受けます。

• 現在のデバイス設定は、CRWSアプリケーションとともに出荷されたデフォルトのIOS設定に基づいています。
  
  
• cisco IOS HTTPサーバは、CRWSに付属のデフォルトのIOS設定で有効になっていますが、ユーザによって無効にされていません。
  
  
• IOS HTTPサーバへのアクセスに対して追加の認証メカニズム（ローカルユーザデータベース、RADIUS、TACACS+など）が定義されていないか、設定にenable passwordやenable secretが存在しません。
  

次の手順を使用して、特定のデバイスが脆弱かどうかを確認できます。

1.デバイスでCisco IOS HTTPサーバが有効になっていますか。

• YES：ステップ2に進みます。
  
• NO：デバイスには脆弱性はありません。
  

2. IOS HTTPサーバインターフェイスへのアクセス用に設定された認証メカニズムはありますか。

• YES：デバイスには脆弱性はありません。
  
• NO：ステップ3に進みます。
  

3.デバイスにイネーブルパスワードまたはイネーブルシークレットが設定されていますか。

• YES：デバイスには脆弱性はありません。
  
• NO：デバイスは脆弱です。このセキュリティアドバイザリの「ソフトウェアバージョンと修正」セクションと「回避策」セクションを参照してください。
  

前の手順の質問に回答するために必要な情報を取得するには、次の手順を実行します。

1. デバイスでCisco IOS HTTPサーバが有効になっているかどうかを確認するには、特権CLIプロンプトから次のコマンドを実行します。
   

   show running-config | include ip http
   

   次の例は、Cisco IOS HTTPサーバが有効になっているデバイスを示しています。
   

   Router#show running-config | include ip http
   ip http server
   Router#

   次の例は、Cisco IOS HTTPサーバが無効になっているデバイスを示しています。
   

   Router#show running-config | include ip http
   no ip http server
   Router#

   注：Cisco IOS HTTPサーバの新しいバージョンは、SSL(Secure Sockets Layer)暗号化を提供します。この脆弱性は、SSL対応のCisco IOS HTTPサーバが設定で有効になっている場合にも不正利用される可能性があります。次の例は、標準のCisco IOS HTTPサーバが無効で、SSL対応のCisco IOS HTTPサーバが有効になっているデバイスを示しています。

   Router#show running-config | include ip http
   no ip http server
   ip http secure-server
   Router#

2. 認証メカニズムがCisco IOS HTTPサーバに適用されているかどうかを確認するには、特権CLIプロンプトから次のコマンドを実行します。
   

   show running-config | include ip http
   

   次の例は、Cisco IOS HTTPサーバが有効で、ローカル認証メカニズムが設定されているデバイスを示しています。
   

   Router#show running-config | include ip http
   ip http server
   ip http authentication local
   no ip http secure-server
   Router#

   デバイス設定にip http authentication行が存在しない場合、Cisco IOS HTTPサーバでは認証メカニズムとしてenable secret（デフォルト）またはenable password（設定されている場合）が使用されます。Cisco IOS HTTPサーバで使用できるAAAメカニズムの詳細については、『AAA Control of the IOS HTTP Server』というタイトルのドキュメントを参照してください。このドキュメントはhttp://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a008069bdc5.shtmlから入手できます。
   
   
3. enable passwordまたはenable secretが設定されているかどうかを確認するには、特権CLIプロンプトから次のコマンドを実行します。
   

   show running-config | include enable [secret|password]
   

   次の例は、enable secretパスワードが設定されているデバイスを示しています。
   

   Router#show running-config | include enable [secret|password]
   enable secret 5 $1$1yfp$qM7qAChXVXYp8ee2qm2Kf/
   Router#

   次の例は、enable passwordまたはenable secretが設定されていないデバイスを示しています。
   

   Router#show running-config | include enable [secret|password]
   Router#

この脆弱性を軽減する回避策は複数あります。既存のCRWSをご使用のお客様、および以前のバージョンから新しいCRWSバージョンにアップグレードするお客様は、この問題に対して脆弱な場合は、次のいずれかの回避策を適用する必要があります。新しいCRWSバージョンへのアップグレードでは、この脆弱性を排除するには不十分です。

• 回避策1:Cisco IOS HTTPサーバ機能の無効化
  
  CRWSアプリケーションを使用してデバイスを設定または管理していないお客様で、Cisco IOS HTTPサーバが提供する機能が不要な場合は、次のコマンドをデバイス設定に追加して無効にすることができます。
  

  no ip http server
  no ip http secure-server

  デバイスにインストールされ実行されているCisco IOSバージョンがSSL機能をサポートしていない場合、2番目のコマンドはエラーメッセージを返す可能性があります。このエラーメッセージは無害であり、無視しても問題ありません。
  
  
• 回避策2：イネーブルパスワードを設定してCisco IOS HTTPサーバへの要求の認証を有効にする
  
  CRWSアプリケーションを使用してデバイスの設定や管理を行う場合、またはCisco IOS HTTPサーバが提供する機能が必要な場合は、Cisco IOS HTTPサーバインターフェイスにアクセスするための認証メカニズムを設定する必要があります。これらのオプションの1つは、enable secretまたはenable passwordパスワードを設定することです。enable passwordは、他の方式が設定されていない場合にCisco IOS HTTPサーバによって使用されるデフォルトの認証メカニズムです。
  
  enable secretパスワードを設定するには、デバイス設定に次のコマンドを追加します。
  

  enable secret <mypassword>

  <mypassword>は任意の強力なパスワードで置き換えます。強力なパスワードについては、サイトのセキュリティポリシーを参照してください。http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a00809d38a7.shtmlで入手できる『Cisco IOS Password Encryption Facts』というタイトルのドキュメントに、enable secretコマンドとenable passwordコマンドの違いについての説明があります。
  
  
• 回避策3：デフォルト以外の認証メカニズムを使用したCisco IOS HTTPサーバへの要求の認証の有効化
  
  デフォルト以外のCisco IOS HTTPサーバにアクセスするための認証メカニズムを設定します。このような認証メカニズムには、ローカルユーザデータベースや、事前に定義されたAAA（認証、認可、アカウンティング）方式があります。Cisco IOS HTTPサーバの認証メカニズムを有効にする手順は、Cisco IOSリリースおよびその他の追加要素によって異なるため、例は示しません。Cisco IOS HTTPサーバの認証メカニズムの設定方法に関する情報を必要とするお客様は、『AAA Control of the IOS HTTP Server』というドキュメントをお読みになることをお勧めします。このドキュメントは、http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a008069bdc5.shtmlから入手できます。
  

  注：CRWSアプリケーションでの使用がテストされ、サポートされている認証方式は、ローカルユーザデータベースのみです。その他の方法（外部RADIUSまたはTACACS+サーバの使用を含む）はサポートされていません。

これらの回避策に加えて、Cisco IOS HTTPサーバへのアクセスを、信頼できる管理ワークステーションのみに制限することを強くお勧めします。IPアドレスに基づいてCisco IOS HTTPサーバへのアクセスを制限する方法については、http://www.cisco.com/en/US/docs/ios/12_2/configfun/configuration/guide/fcf005.html#wp1000973を参照してください。

アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center（TAC）または契約を結んでいるメンテナンス プロバイダーにお問い合せください。

この問題は、http://www.cisco.com/pcgi-bin/tablebuild.pl/crwsで入手できるCRWSバージョン3.3.0ビルド31の新規インストールで修正されています。

2006年8月8日以降にシスコの製造部門から出荷されたデバイスには、修正済みのCRWSバージョン3.3.0ビルド31が含まれています。

CRWSバージョン3.3.0ビルド31のインストール方法については、http://www.cisco.com/en/US/products/sw/netmgtsw/ps2076/prod_troubleshooting_guide09186a0080132c3c.html#1080818を参照してください。

既存のCRWSユーザまたは以前のバージョンからCRWSバージョン3.3.0ビルド31にアップグレードするお客様は、このセキュリティアドバイザリの「回避策」セクションに記載されている回避策を導入する必要があります。デバイスのCRWSソフトウェアを以前のバージョンから修正済みソフトウェアバージョンにアップグレードしても、既存のインストールの脆弱性は排除されません。

Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。

この脆弱性はシスコ内部でのテストによって発見されました。