Cisco 社は、Digital Network Architecture (DNA) Center アプライアンスの 3 つの重大な脆弱性に対処するためのアップデートをリリースしました。
ネットワーク大手シスコは、同社が顧客に直接販売しているネットワーク管理および運営ボックス「DNA Center」には、攻撃者がリモートからアプライアンスを乗っ取る可能性がある3つの欠陥があると発表した。
おそらく最も顕著な欠陥は、シスコが何らかの理由でDNA Centerに残した静的な管理者認証情報です。これらの認証情報を入手した攻撃者は、標的のアプライアンスを容易に完全に乗っ取ることができるでしょう。
UKFastビットバーンの噂:「シスコスイッチの不具合」がサービス停止に繋がる
続きを読む
「この脆弱性は、影響を受けるソフトウェアのデフォルトの管理者アカウントに、文書化されていない静的なユーザー認証情報が存在することに起因します」とシスコは説明している。
「この脆弱性を悪用すると、攻撃者が影響を受けるシステムにログインし、ルート権限で任意のコマンドを実行できる可能性があります。」
これはシスコにとって、ある意味厄介で、かつ恥ずかしい問題です。3月にSwitchzillaがIOSプラットフォームに静的な認証情報を残し、近年では他のネットワーク機器にもハードコードされたパスワードが放置されていたことが発覚しました。
静的な管理者認証情報が気に入らない場合は、CVE-2018-0271 経由で DNA Center を攻撃される可能性もあります。
この欠陥は URL 処理の不備が原因とされ、攻撃者が URL フィールドに攻撃コードを埋め込み、「重要なサービスへのアクセス」によってログイン制御を回避できるようになる。
また、CVE-2018-0268 も修正されました。これは、DNA Center の Kubernetes コンテナの処理における脆弱性で、攻撃者がコンテナ インスタンス自体のセキュリティ保護を回避できる可能性があります。
「Kubernetes サービス ポートにアクセスできる攻撃者は、プロビジョニングされたコンテナ内で昇格された権限でコマンドを実行できる」と Cisco は述べている。
「攻撃が成功すると、影響を受けるコンテナが完全に侵害される可能性があります。」
シスコは、これら3つのバグすべてに対し、DNA Centerのシステムアップデートツールを通じてアップデートをリリースしました。管理者の皆様は、3つのセキュリティホールすべてに対処できるよう、バージョン1.1.3へのアップデートをお勧めいたします。®
