Informational
Informational
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
シスコは、最近共同発行された US-CERT(TA18-106A)の技術的アラートについて認識しています。これは、既知の問題について詳述したものであり、これらの問題に関して、ユーザには自身のネットワークをサイバー攻撃から保護するための対処が必要です。ここでの最優先事項は、透明性とガイダンスを提供することであり、ユーザが自身のネットワークを保護できるようにすることです。シスコのセキュリティ チームは、セキュリティ アドバイザリ、ブログ、および直接連絡により、この共同アラートで触れられている Smart Install およびその他のプロトコルをセキュリティ保護するために必要な情報をお客様に積極的に提供し続けています。本日の発表は、脆弱性管理の持続的な改善、およびセキュリティの健全性を実現するためのベスト プラクティスの実装に取り組むことの重要性について、ユーザの皆様に認識してただくために新たにお知らせするものです。
このアドバイザリは、次のリンクより確認できます。https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180416-tsa18-106a
詳細
デバイス管理プロトコルのセキュリティ保護
ネットワーク デバイスとの管理セッションでは、デバイスとその動作に関する情報の表示と収集ができます。この情報が悪意のあるユーザに公開されると、そのデバイスは攻撃対象となり、侵入され、さらなる攻撃に利用される可能性があります。デバイスへの特権アクセスを持つユーザは、そのデバイスに対して全面的な管理制御を行うことができます。情報の漏えいと不正アクセスを防止することはセキュア管理セッションに不可欠です。各ターゲット プロトコルについて、シスコはネットワーク デバイスのセキュリティ保護と強化に関するベスト プラクティスに従うようお客様に提唱しています。ここでは、共同の技術アラートに記載されている各ターゲット プロトコルに関する固有のベスト プラクティスを提供します。
Telnet & HTTP
インタラクティブ管理セッションの実行中は情報が開示される可能性があるので、このトラフィックを暗号化して、悪意のあるユーザが送信中のデータにアクセスできないようにする必要があります。トラフィックを暗号化することで、デバイスとのリモート アクセス接続が保護されます。管理セッションのトラフィックがクリア テキストで送信された場合(たとえば、TCP ポート 23 で Telnet を使用、または TCP ポート 80 で HTTP を使用)、攻撃者はデバイスおよびネットワークに関する機密情報を取得できます。
推奨事項:インタラクティブ管理に暗号化プロトコルを使用する
SSHv2 を使用した Secure Shell(SSH)を利用する。これについては、Cisco Guide to Harden Cisco IOS Devices(Cisco IOS デバイスの強化に関するシスコ ガイド)の Secure Interactive Management Sessions(インタラクティブ管理セッションの保護)セクションで説明されています。HTTP サーバを使用する。これについては、Cisco Guide to Harden Cisco IOS Devices(Cisco IOS デバイスの強化に関するシスコ ガイド)の Encrypt Management Sessions(管理セッションの暗号化)セクションで説明されています。
Simple Network Management Protocol(SNMP)
ネットワーク データと、このデータを送信するネットワーク デバイスの両方の機密性、整合性、およびアベイラビリティを保護するには、SNMP(UDP ポート 161 および 162)を適切に保護することが重要です。SNMP は、ネットワーク デバイスの正常性に関する情報を提供します。この情報が悪意のあるユーザによるネットワークへの攻撃に利用されないようにするため、この情報を保護する必要があります。
推奨事項:セキュアなSNMP
Cisco Guide to Harden Cisco IOS Devices(Cisco IOS デバイスの強化に関するシスコ ガイド)の Fortify Simple Network Management Protocol(SNMP の強化)セクションで説明されているように、SNMP を保護します。
Cisco Smart Install(SMI ポート 4786)
Cisco Smart Install は、新しいスイッチ(通常はアクセス レイヤ スイッチ)のゼロタッチ導入を提供するレガシー機能です。仕様として、認証機能は組み込んでいません。新しいスイッチのよりセキュアなセットアップには、Cisco ネットワーク プラグ アンド プレイ機能など、より新しい技術を使用することが強く推奨されます。セットアップ後に適切に無効化または保護されない場合、Smart Install によって、脆弱性が存在しない場合でも、コンフィギュレーション ファイルの抽出や改ざんなどが可能になる場合があります。
推奨事項:Smart Installの影響を無効化/最小化
Smart Install を実際には使用していないユーザに対するシスコの推奨は、セットアップ完了後に、no vstack コマンドを使用してこの機能を無効化することです。この機能を使用している場合(および有効化しておく必要がある場合)は、アクセス コントロール リスト(ACL)を使用して、TCP 4786 への着信トラフィックをブロックします(適切なセキュリティ制御)。さらに、標準的なネットワーク セキュリティ管理の一環として、既知のセキュリティ脆弱性に対するパッチを適用する必要があります。Smart Install の使用やこの機能への影響の判断/制限方法の詳細については、セキュリティ アドバイザリAction Required to Secure the Cisco IOS and IOS XE Smart Install Feature(Cisco IOS および IOS XE での Smart Install 機能の保護に必要なアクション)を参照してください。
警告(ログイン)バナー
法的観点というよりもセキュリティの観点から、ルータの名前、モデル、ソフトウェア、所有権についての具体的な情報はログイン バナーに含めないでください。悪意のあるユーザは、こうした情報を悪用します。
推奨事項:ログインバナーでのデバイス情報の最小化
Cisco Guide to Harden Cisco IOS Devices(Cisco IOS デバイスの強化に関するシスコ ガイド)の Warning Banners(警告バナー)セクションで説明されているように、警告バナーのガイドラインに従います。
追加のサポート
結論
US-CERT Alert TA18-106A に説明されているように、この攻撃で利用されるプロトコルは、ネットワーク デバイスの管理においてよく使用されるプロトコルです。これらのプロトコルの多くは、ベスト プラクティスに従ってセキュリティ保護しない場合、攻撃者にデバイス情報が提供されることになり、不正な目的に利用される可能性があります。US-CERT Alert TA18-106A に記載されている攻撃の影響を緩和するためには、本ドキュメントで説明されているベスト プラクティスに従うことが強く推奨されます。
参考資料
シスコのベスト プラクティス
- Cisco IOS デバイスの強化ガイド
- Cisco Guide to Harden Cisco IOS XR Devices(Cisco IOS デバイスの強化に関するシスコ ガイド)
- Cisco Guide to Securing Cisco NX-OS Software Devices(Cisco NX-OS ソフトウェア デバイスの保護に関するシスコ ガイド)
- Cisco Firewall Best Practices Guide(シスコ ファイアウォール ベスト プラクティス ガイド)
- コアの保護:インフラストラクチャ保護 ACL
- Control Plane Policing Implementation Best Practices(コントロール プレーン ポリシング実装のベスト プラクティス)
関連するシスコ セキュリティ アドバイザリ
- Cisco IOS および IOS XE の Smart Install 機能を保護するために必要なアクション
- Cisco IOS ソフトウェアの Smart Install 機能においてリモートでコードが実行される脆弱性
- Cisco IOS ソフトウェアの Smart Install 機能における Denial of Service(DoS)の脆弱性
- Cisco IOS ソフトウェアの Smart Install 機能における Denial of Service(DoS)の脆弱性
- Cisco IOS および IOS XE ソフトウェアの Smart Install 機能における Denial of Service(DoS)の脆弱性
- Cisco IOS および IOS XE ソフトウェアの Smart Install 機能におけるメモリ リークの脆弱性
- Cisco Smart Install プロトコルの誤用(2017 年 2 月 14 日初版)
- Cisco IOS および IOS XE ソフトウェアの Smart Install 機能における Denial of Service(DoS)の脆弱性(2018 年 3 月 28 日初版)
- Cisco IOS および IOS XE ソフトウェアの Smart Install 機能においてリモートでコードが実行される脆弱性(2018 年 3 月 28 日初版)
- シスコのイベント対応:Cisco ASAおよびIOSの脆弱性
- Cisco 適応型セキュリティ アプライアンスで SNMP コードがリモートより実行される脆弱性
業界の参照資料
URL
改訂履歴
バージョン | 説明 | セクション | ステータス | 日付 |
---|---|---|---|---|
1.0 | 初回公開リリース | — | Final | 2018 年 4 月 16 日 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。