NetFlow Collection Engine でのデフォルト パスワード

ダウンロード オプション

  • PDF     (254.2 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (84.4 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (73.3 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2022 年 12 月 19 日
Document ID:null-null

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

Medium

Medium

アドバイザリーID : cisco-sa-20070425-nfc
初公開日 : 2007-04-25 16:00
バージョン 1.1 : Final
CVSSスコア : 5.6
回避策 : No Workarounds available
Cisco バグ ID :
 

日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。

概要

Cisco Network Services(CNS)NetFlow Collection Engine(NFC)の 6.0 より前のバージョンでは、ユーザ名とパスワードがまったく同じデフォルト アカウントが作成されて使用されます。このアカウントのことを知っている攻撃者は、アプリケーションの設定を変更することができ、場合によってはホスト オペレーティング システムにユーザとしてアクセスできます。

NFC バージョン 6.0 へのアップグレードは無償ではありません。このデフォルト パスワードの問題に対処するためにソフトウェアをアップグレードする必要はなく、該当するすべてのユーザを設定コマンドで変更できます。このドキュメントで説明されている回避策は、5.0 でパスワードを変更する方法を示しています。

このアドバイザリは、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20070425-nfc で公開されています。

該当製品

脆弱性のある製品

この脆弱性は、6.0.0 より前のソフトウェア バージョンを実行している Cisco NetFlow Collection Engine に影響します。Cisco NetFlow Collection Engine のソフトウェア バージョンは、Web ベースのユーザ インターフェイス(UI)にログインするか、ホスト オペレーティング システムから nfcollector コマンドの show-tech パラメータを使用することで確認できます。バージョン 6.0 以降を実行している場合、nfcollector コマンドでソフトウェアのレベルを確認するには version パラメータを使用します。

NFC のバージョンは、Web ブラウザを使用して http://<nfc-hostname>:8080/nfc にアクセスし、左上隅の About を選択することで確認できます。新しいウィンドウに NFC のバージョンが表示されます。

ホスト オペレーティング システムから NFC のバージョンを確認するには、/opt/CSCOnfc/nfcollector コマンドの show-tech パラメータを使用します。NFC バージョン 5.0.3 を実行しているシステムの場合、/opt/CSCOnfc/bin/nfcollector show-tech の出力結果は次のようになります。

$ /opt/CSCOnfc/nfcollector show-tech

********** pkginfo/swlist **********
Name        : CSCOnfc                      Relocations: /opt/CSCOnfc 
Version     : 5.0.3                             Vendor: Cisco Systems, Inc
Release     : 2                             Build Date: Wed 06 Sep 2006 11:19:59 AM EDT
Install Date: Mon 12 Feb 2007 04:26:54 PM EST      Build Host: nfc-hpux.cisco.com
Group       : Applications/Network          Source RPM: CSCOnfc-5.0.3-2.src.rpm
Size        : 109385602                        License: Copyright (c) 2002-2003 by Cisco Systems, Inc.
Signature   : (none)
URL         : http://www.cisco.com
Summary     : Cisco NetFlow Collector
Description :
Cisco CNS NetFlow Collection Engine receives, filters, and aggregates NetFlow
 traffic data generated by Cisco routers and switches.

脆弱性を含んでいないことが確認された製品

このアドバイザリで説明されている問題に対する脆弱性を含むその他の Cisco 製品は現在のところ報告されていません。

詳細

Cisco CNS NetFlow Collection Engine は、NetFlow をサポートするルータやスイッチなどのデバイスの NetFlow アカウンティング データの収集と監視に使用されます。このデータを使用すると、ネットワーク ベースラインを確立できます。このネットワーク ベースラインと比較することで、Denial of service(DoS; サービス拒否)攻撃、ワーム、その他の悪意ある活動などの不正な活動を簡単に検出できます。

NFC は、サポート対象となる UNIX プラットフォームにインストールされます。この製品をインストールすると、デフォルトの Web ベースのユーザ アカウント nfcuser が作成されます。このアカウントのパスワードは nfcuser であり、アプリケーションのメンテナンス、設定、およびトラブルシューティングを行うために必要になります。6.0 より前のバージョンの Linux インストーラでは、オペレーティング システム上にも nfcuser という名前のローカル ユーザが作成されます。デフォルトのパスワードはユーザ名と同じです。このユーザがすでに存在する場合、Linux インストーラはパスワードをユーザ名と同じに変更します。

この問題は、Cisco Bug ID CSCsh75038 (登録ユーザ専用)に記述されています。

脆弱性スコア評価の詳細

Cisco では、Common Vulnerability Scoring System(CVSS)に基づき、このアドバイザリで説明されている脆弱性のスコアを評価しました。

Cisco では基本スコアと現状スコアを評価します。お客様はこれらを用いて環境評価スコア (Environmental Score) を算出し、個々のネットワークにおける脆弱性の影響度を導き出すことができます。

Cisco PSIRT は、すべてのケースにおける重みを「標準」に設定します。特定の脆弱性の環境的影響を判断する際には、重みパラメータを適用することを推奨します。

CVSS は、脆弱性の重大度を伝える標準ベースのスコア評価方式であり、対応の緊急度や優先度を判断するのに役立ちます。

Cisco は以下の URL にて CVSS に関する FAQ を提供しています。

http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html にアクセスしてください。

また Cisco は個々のネットワークにおける環境影響度を算出する CVSS 計算ツールを以下の URL にて提供しています。

https://sec.cloudapps.cisco.com/security/center/cvssCalculator.x

CSCsh75038:Default password for nfcuser in NFC

環境スコアを計算する CSCsh75038

CVSS 基本スコア - 5.6

攻撃元区分

攻撃条件の複雑さ

[Authentication]

機密性への影響

完全性への影響

可用性への影響

影響の重み

Remote

不要

部分的

部分的

部分的

Normal

CVSS 現状スコア - 5.1

攻撃される可能性

利用可能な対策のレベル

Report Confidence

機能する

回避策

確認済

回避策

リリース 6.0 以降では、この問題への対応策が講じられています。アプリケーションのインストール時、または 6.0 より後のバージョンへのアップグレード時に、次の例で示すように、Web ベースの nfcuser アカウントのパスワードを変更するよう求めるプロンプトがユーザに対して表示されます。これは Web ユーザとパスワードに対してのみ適用されます。回避策セクションの最後に示されているように、Linux ホストでは、ホスト オペレーティング システムの nfcuser を手動で変更する必要があります。Solaris へのインストールでは、常にインストールの前にローカル nfcuser を作成しておく必要があるので、このアドバイザリは Web ベースのユーザ アカウントのみが対象になります。Solaris または Linux にバージョン 6.0 以降の NFC をインストールする場合は、インストーラを実行する前に、ホスト オペレーティング システムに nfcuser アカウントを作成しておく必要があります。

6.0 より前のバージョンの NFC では、次の手順を使用して Web ユーザを変更できます。

次に示すように、${NFC_DIR}/config/auth.config に保存されているファイル認証パラメータを編集します。nfc-user フィールドは変更可能です。nfc-password には強力なパスワードを選択する必要があります。

NFC {
    com.cisco.nfc.collector.web.auth.SimpleLoginModule required nfc-user="nfcuser" nfc-password="nfcuser";
};

次に、nfcuser として、NFC アプリケーションを停止し、再起動します。この操作は、次の例に示すように、nfcollector コマンドを使用して行います。

# su - nfcuser

$ /opt/CSCOnfc/bin/nfcollector stop all
nfcxml: Not Running
collection: Not Running
re: Not Running; autostart not configured
web: Not Running

$ /opt/CSCOnfc/bin/nfcollector start all
This product contains cryptographic features and is subject to
United States and local country laws governing import, export,
transfer and use. Delivery of Cisco cryptographic products does
not imply third-party authority to import, export, distribute
or use encryption. Importers, exporters, distributors and users
are responsible for compliance with U.S. and local country laws.

By using this product you agree to comply with applicable laws
and regulations. If you are unable to comply with U.S. and local
laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be
found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email
to export@cisco.com.

nfcxml: Running (pid: 6598)
collection: Running (pid: 6606)
re: Not Running; autostart not configured
web: Running (pid: 6618)

また、バージョン 6.0 より前の NFC を Linux にインストールする場合は、次の例に示すように、passwd コマンドを使用して nfcuser パスワードを変更します。 

# passwd nfcuser
Changing password for user nfcuser.
New UNIX password:
Retype new UNIX password:
passwd: all authentication tokens updated successfully.

ローカル ユーザのパスワードは、Web ユーザ アカウントのパスワードと一致させる必要がないことに注意してください。バージョン 6.0 にアップグレードする際には、UI で使用する新しい nfcuser のパスワードを指定するよう求めるプロンプトが自動的に表示されます。その場合でも、ホスト オペレーティング システムの nfcuser のパスワードは、上で説明したように変更する必要があります。

修正済みソフトウェア

アップグレードを検討する場合は、http://www.cisco.com/go/psirt と後続のアドバイザリも参照して、問題の解決状況と完全なアップグレード ソリューションを確認してください。

いずれの場合も、アップグレードする機器に十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新しいリリースで引き続き適切にサポートされていることの確認を十分に行ってください。情報に不明な点がある場合は、Cisco Technical Assistance Center(TAC)または契約を結んでいるメンテナンス プロバイダーにお問い合せください。

不正利用事例と公式発表

Cisco PSIRT では、本アドバイザリに記載されている脆弱性の不正利用事例やその公表は確認しておりません。

URL

改訂履歴

リビジョン 1.1

2008年4月24日

CSCsh75038 CVSSスコアへのリンクを更新。

リビジョン 1.0

2007 年 4 月 25 日

初版リリース

利用規約

本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。