Informational
Informational
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
ここ数週間、シスコはSmart Install機能に関連する複数のドキュメントを公開しています。有効のままにすると機能が誤用される可能性があるTalosブログが1件、Cisco IOSおよびIOS XEソフトウェアのセキュリティアドバイザリバンドル公開の2018年3月のリリースに含まれる2件のシスコセキュリティアドバイザリです。認知の高まりを考慮して、シスコは、不正利用の試みについて混乱を招く可能性を最小限に抑えること、およびお客様のデバイスの機能検証を明確にすることを意図しています。この目的のために、シスコは、Smart Install 関連の脆弱性の誤用または不正利用の可能性の緩和に関する全情報を、この単一のドキュメントに集約することにしました。また、公開された脆弱性の影響を受ける可能性のあるデバイスを適切に保護する方法や、その脆弱性の修正方法についてもこのドキュメントで説明します。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180409-smi
詳細
Smart Install の脆弱性の履歴
次の表は、脆弱性のある Smart Install 機能(クライアントおよび/またはディレクタ)を特定しているアドバイザリの一覧です。これらのアドバイザリでは、各脆弱性の現在の不正利用範囲についても記載しています。
|
アドバイザリ名 |
CVE ID |
説明 |
クライアント/ディレクタ |
公開日 |
現在の不正利用状況 |
|
N/A |
Smart Install 機能が有効になっていて適切なセキュリティ制御が行われていないデバイスを探すための広範なスキャニング |
クライアントのみ |
2017 年 2 月 14 日 |
Yes |
|
|
Cisco IOS および IOS XE ソフトウェアの Smart Install 機能においてリモートでコードが実行される脆弱性 |
CVE-2018-0171 |
リロード、Denial of Service(DoS)、リモートのコード実行 |
クライアントのみ |
2018 年 3 月 28 日 |
いいえ |
|
Cisco IOS および IOS XE ソフトウェアの Smart Install 機能における Denial of Service(DoS)の脆弱性 |
CVE-2018-0156 |
リロード、Denial of Service(DoS) |
クライアントのみ |
2018 年 3 月 28 日 |
いいえ |
|
Cisco IOS および IOS XE ソフトウェアの Smart Install 機能におけるメモリ リークの脆弱性 |
CVE-2016-6385 |
メモリ リーク、最終的に Denial of Service(DoS)が引き起こされる |
クライアントのみ |
2016 年 9 月 28 日 |
いいえ |
|
Cisco IOS および IOS XE ソフトウェアの Smart Install 機能における Denial of Service(DoS)の脆弱性 |
CVE-2016-1349 |
Denial of Service(DoS) |
クライアントのみ |
2016 年 3 月 23 日 |
いいえ |
|
Cisco IOS ソフトウェアの Smart Install 機能における Denial of Service(DoS)の脆弱性 |
CVE-2013-1146 |
Denial of Service(DoS) |
クライアントのみ |
2013 年 3 月 27 日 |
いいえ |
|
Cisco IOS ソフトウェアの Smart Install 機能における Denial of Service(DoS)の脆弱性 |
CVE-2012-0385 |
不正な SMI パケットによってリロードが発生 |
クライアントおよびディレクタ |
2012 年 3 月 28 日 |
いいえ |
|
CVE-2011-3271 |
リモートのコード実行 |
クライアントおよびディレクタ |
2011 年 9 月 28 日 |
いいえ |
推奨されるアクションの概要
Smart Install に関連する問題からネットワークを保護するためにシスコが推奨するのは、Smart Install 機能を実際に使用していない場合は、セットアップ完了後に no vstack コマンドを使用してこの機能を無効にすることです。この機能を使用している場合(および有効化しておく必要がある場合)は、ACL を使用して、TCP 4786への着信トラフィックをブロックします(適切なセキュリティ制御)。さらに、標準的なネットワーク セキュリティ管理の一環として、既知のセキュリティ脆弱性に対するパッチを適用する必要があります。
識別および緩和手順
ネットワーク デバイスが Smart Install の脆弱性の影響を受ける可能性について懸念がある場合は、次のプロセスに従ってください。
- 影響を受けるソフトウェア:使用中のソフトウェアバージョンが、Smart Installセキュリティアドバイザリに記載されている脆弱性の影響を受けるかどうかを確認します。
- 機能が有効化されていますか?- 該当のソフトウェア バージョンを実行しているデバイスの場合、Smart Install クライアント機能が存在しているかどうかを確認する必要があります。
- 次のいずれかの手順によって、脆弱性の影響を受ける可能性を軽減します。
Smart Install 導入リスク
Cisco Smart Install は、新しいスイッチ(通常はアクセス レイヤ スイッチ)のゼロタッチ導入を提供するレガシー機能です。仕様として、認証機能は組み込んでいません。新しいスイッチのよりセキュアなセットアップには、Cisco ネットワーク プラグ アンド プレイ機能など、より新しい技術を使用することが強く推奨されます。セットアップ後に適切に無効化または保護されない場合、Smart Install によって、脆弱性が存在しない場合でも、コンフィギュレーション ファイルの抽出や改ざんなどが可能になる場合があります。
Smart Install ネットワークは、1 台の Smart Install ディレクタ スイッチまたはルータ(統合ブランチ ディレクタ(IBD)とも呼ばれる)、1 台以上の Smart Install クライアント スイッチ(統合ブランチ クライアント(IBC)とも呼ばれる)で構成されます。
クライアント スイッチでは、Smart Install 機能はデフォルトで有効化されています。Smart Install クライアント スイッチには特定の設定は必要ありませんが、Smart Install ディレクタには明示的に設定する必要があります。
影響を受ける IOS および IOS XE バージョンの確認
Cisco IOS および IOS XE ソフトウェア
お客様が Cisco IOS ソフトウェアおよび IOS XE ソフトウェアの脆弱性による侵害の可能性を判断するため、シスコは Cisco IOS Software Checker ツールを提供しています。このツールを使用すると、特定のソフトウェア リリースに該当するシスコ セキュリティ アドバイザリ、および各アドバイザリで説明されている脆弱性が修正された最初のリリース(「First Fixed」)を特定できます。また該当する場合、そのリリースに関するすべてのアドバイザリの脆弱性が修正された最初のリリース(「Combined First Fixed」)を特定できます。
このツールを使用して次のタスクを実行できます。
- ドロップダウン リストからリリース(複数可)を選択するか、分析対象となるローカル システムからファイルをアップロードして、検索を開始する
- show version コマンドの出力をツールで解析する
- カスタマイズした検索(過去に公開されたすべてのシスコ セキュリティ アドバイザリを検索対象に入れたり、特定のアドバイザリのみ、または最新のバンドル資料のすべてのアドバイザリを含めるなど)を作成する
リリースが、公開されたシスコ セキュリティ アドバイザリのいずれかに該当するかどうかを確認するには、Cisco.com の Cisco IOS Software Checker を使用するか、以下のフィールドに Cisco IOS ソフトウェアまたは Cisco IOS XE ソフトウェアリリース(たとえば、15.1(4)M2、3.13.8S など)を入力します。
影響を受けるデバイスの識別
Smart Install クライアントが有効になっているデバイスの確認
次に、Smart Install クライアント機能を有効化した Cisco Catalyst スイッチでの show vstack config コマンドの出力例を示します。これらは、Smart Install クライアント機能が有効になっていることを示す出力のみを示しています。
Switch1#show vstack config | include Role
Role: Client (SmartInstall enabled)
switch2# show vstack config
Capability: Client
Oper Mode: Enabled
Role: Client
TCP ポート 4786 をリッスンしているデバイスの確認
次の例は、show tcp brief all コマンドの出力を示しています | Smart Install クライアント ポート(TCP 4786)をリッスンしている Cisco Catalyst スイッチでの include 4786 コマンド:
Switch#show tcp brief all | include 4786
FFB6D31818 0.0.0.0.4786 *.* LISTEN
Switch#
次の例は、show tcp brief all コマンドの出力を示しています | include 4786コマンドを、Smart Installクライアントポート(TCP 4786)をリッスンしていて、Smart Installディレクタ(IPアドレス:10.69.12.117)に接続しているCisco Catalystスイッチで実行した場合の出力例を示します。
FFA893EA50 10.66.91.126.4786 10.69.12.117.54246 CLOSEWAIT
FFB6D31818 0.0.0.0.4786 *.* LISTEN
Switch#
この方法では、Smart Install クライアントとして稼働しているデバイスと、Smart Install ディレクタとして稼働しているデバイスを区別することができないことに注意してください。そのため、可能な場合は、show vstack config コマンドの使用が推奨されます。
Smart Install を無効化
「no vstack」コマンドを発行
Cisco スイッチの導入を完了した後、管理者は Smart Install を使用するか、または使用しない場合は、Smart Install クライアント機能は必要ないためすぐに無効化する必要があります。Smart Install 機能は、no vstack コマンドで無効化できます。
Smart Install へのアクセスを制限
「no vstack」コマンドが使用できない場合、またはゼロタッチ導入以外にも Smart Install を使用する場合
no vstack コマンドが使用できないネットワークの場合、またはゼロタッチ導入以外にも Smart Install を使用する場合は、IBD のみが、ポート 4786 ですべての IBC への TCP 接続があることを確認します。管理者は、影響を受けるデバイスでの Cisco Smart Install の導入に関する以下のセキュリティ ベスト プラクティスを使用することができます。
- インターフェイス アクセス コントロール リスト(ACL)
- コントロール プレーン ポリシング(CoPP)
Smart Install ディレクタ(IBD)の IP アドレスが 10.10.10.1 で Smart Install クライアント(IBC)の IP アドレスが 10.10.10.200 の場合、インターフェイス ACL は次の例ようになります。
この ACL は、すべての IBC のすべての IP インターフェイスに展開する必要があります。先にスイッチを展開すると、IBD を介してプッシュできます。ip access-list extended SMI_HARDENING_LIST
permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
deny tcp any any eq 4786
permit ip any any
追加のサポート
この機能が有効化された状態のままではないか確認するため、またはデバイスの不正利用の懸念があるためにサポートが必要な場合は、該当するサポート チーム(アドバンスド サービス、TAC など)に問い合わせて、シスコが必要とする詳細情報を提示してください。
参考資料
セキュリティ アドバイザリ
Cisco IOS ソフトウェアの Smart Install 機能においてリモートでコードが実行される脆弱性
Cisco IOS ソフトウェアの Smart Install 機能における Denial of Service(DoS)の脆弱性
Cisco IOS ソフトウェアの Smart Install 機能における Denial of Service(DoS)の脆弱性
Cisco IOS および IOS XE ソフトウェアの Smart Install 機能における Denial of Service(DoS)の脆弱性
Cisco IOS および IOS XE ソフトウェアの Smart Install 機能におけるメモリ リークの脆弱性
Cisco Smart Install プロトコルの誤用(2017 年 2 月 14 日初版)
Cisco IOS および IOS XE ソフトウェアの Smart Install 機能における Denial of Service(DoS)の脆弱性(2018 年 3 月 28 日初版)
Cisco IOS および IOS XE ソフトウェアの Smart Install 機能においてリモートでコードが実行される脆弱性(2018 年 3 月 28 日初版)
ブログ記事
Cisco Talos ブログの記事、「Smart Install クライアント プロトコルの乱用に対するシスコのカバレッジ」(2017 年 2 月 27 日公開)
ツールとその他の参照資料
Cisco Smart Install コンフィギュレーション ガイド
付録 — Smart Install 機能に関する注意事項
Smart Install の自動無効化
Cisco Bug ID CSCvd36820 による変更を組み込んだソフトウェア リリースでは、起動後、ゼロタッチ導入が使用されていないことをスイッチが検知するとすぐに、Cisco Smart Install クライアント機能が自動的に無効化されます。
「no vstack」コマンドのサポート
注:Smart Install クライアント機能を無効化する no vstack グローバル コンフィギュレーション コマンドは、Cisco Bug ID CSCtj75729(Ability to shut Smart Install default service on TCP port 4786)における修正で導入されました。Cisco IOS または IOS XE ソフトウェアが Smart Install クライアント機能をサポートしていても no vstack コマンドに対応していないリリースの場合、Cisco Bug ID CSCtj75729 の修正は含まれていません。
「no vstack」コマンドがリロード後に使用できない
注:no vstackコマンドは、次のCisco IOSおよびIOS XEソフトウェアリリースのCisco不具合CSCvd99197が原因で、リロード後は保持されません。- Cisco Catalyst 4500および4500-Xシリーズスイッチ:3.9.2E/15.2(5)E2
- Cisco Catalyst 6500シリーズスイッチ:15.1(2)SY11、15.2(1)SY5、15.2(2)SY3
- Cisco Industrial Ethernet 4000シリーズスイッチ:15.2(5)E2、15.2(5)E2a
- Cisco ME 3400およびME 3400Eシリーズイーサネットアクセススイッチ:12.2(60)EZ11
既存の Smart Install(SMI)プロセス
no vstack コマンドによって、実行中の SMI プロセスのいずれも停止することはありませんが、新規リクエストは回避されます。アクションを実行するための SMI リクエストをクライアントが受信した後に、no vstack コマンドが入力されると、そのリクエストのプロセスは完了または失敗するまで継続されます。no vstack をメモリにコミットしてリロードすると、これらのメッセージは削除されます。これは CSCvd36820 に対する修正に含まれるものです。
Smart Install に関するその他の情報
- Cisco Smart Install クライアントは定期的にローカル コンソールに警告を送信します。これは、この機能が有効であることをユーザに認識させるために追加されました。これは CSCvd36810 に対する修正です。
- show vstack config の命名規則が一貫したものとなります。この修正を実行する前は、ロール情報の出力は若干異なっており、混乱を招くものとなっていました。これは、CSCvd35782 に対する修正です。
- Smart Install 設定がコンフィギュレーションで表示されます。デフォルトの場合、SMI では show running または show running all config で vstack は表示されませんでした。この機能を追加したため、実行中のコンフィギュレーションで vstack が表示されます(有効化されている場合)。これは、 CSCvd36799 に対する修正です。
- Smart Install 機能は、最近のリリースでは削除されています(16.4.2、16.5.1b、16.6.2、16.7.1、およびそれ以降)。これはCSCvf04861 および CSCvg90005 に対する修正です。
URL
改訂履歴
| バージョン | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.2 | 参照資料の一覧を掲載する付録を追加。 | 詳細 | Final | 2018 年 4 月 11 日 |
| 1.1 | 表内のリンク、書式、テキストを更新。コード例のテキストと書式を更新。 | 詳細 | Final | 2018 年 4 月 10 日 |
| 1.0 | 初回公開リリース | — | Final | 2018 年 4 月 9 日 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。