パスワードが盗まれる、注意すべきCiscoのあの機能

Cisco Systemsのネットワークデバイスのある機能に問題があることは5年前から分かっていた。だがユーザー側の対応が進んでいない。このままではパスワードや機密情報が漏えいしてしまう。

[David Jones，Cybersecurity Dive]

　Cisco Systems製品の便利な機能に深刻な脆弱（ぜいじゃく）性があることが分かった。回避策がないため、利用者はすぐに対策を打たなければならない。

パスワードが盗まれる、注意すべきCiscoのあの機能

　問題があるのはCisco Systemsのネットワークデバイスの機能だ。

　米国の連邦当局とセキュリティ研究者はサイバー攻撃者が「Cisco Smart Install」の機能を標的にして、システムの設定ファイルを盗み、企業ネットワークを侵害していると警告した。

　米サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2024年8月8日に発表した勧告の中でCisco Smart Installの機能を無効にするよう勧告し（注1）、「Cisco Systemsのネットワークデバイスに依然として脆弱（ぜいじゃく）なパスワードを使用している企業が多い」と述べた。CISAによると、脆弱なパスワードはパスワードクラッキング攻撃につながるという。

Cisco Smart Installとは

　Cisco Smart Installはスイッチ製品用の機能だ。この機能を使えば必要な場所にスイッチを配送して現地でネットワークに接続し、電源を入れるだけで利用できる。スイッチの設定が不要ないわゆるゼロタッチを実現できるため、導入時にネットワーク技術者が現地に赴かなくてもよくなることが利点だ。これはCisco Smart Installが、プラグアンドプレイ構成とイメージ管理機能を備えているためだ（キーマンズネット編集部）

　2024年8月9日、サイバーセキュリティ関連のNPO組織Shadowserver FoundationはCisco Smart Installの機能を有効にしたIPアドレスが依然として6000以上インターネットに公開されていると報告した（注2）。この数字は約2年前の1万4000件と比較すると減少しているものの、依然として多い。

　Cisco Smart Installを悪用する攻撃は5年以上前から知られている。Cisco Systemsのセキュリティ部門Cisco Talosは2017年に本件についてブログで触れており（注3）、2018年には勧告を出した経緯がある（注4）。

　Cisco Talosの広報担当者は「当社の研究者はCISAの勧告を認識しており、旧式のSmart Installの機能を無効にするようユーザーに助言している」と述べた。

　2024年8月8日、広報担当者は「このような悪用から自社のネットワークスイッチが適切に保護されているかどうか、ユーザーが確認しなければならない」と述べた。

　ユーザーが確認する助けとなるように、Cisco Talosは攻撃に対して脆弱かどうかを判断するためのスキャンユーティリティーを提供している（注5）。

　Cisco Systemsのデバイスに対してタイプ8のパスワード保護の使用をCICAは推奨している（注6）。タイプ8のパスワード保護はパスワードをキー生成関数バージョン2（PBKDF2）でハッシュ化した、より安全な形式のパスワードだ。

タイプ8のパスワードとは何か

　Cisco Systemsはパスワードの種類をタイプ0、4、5、6、7、8、9に分類している。このうち、NSAはタイプ8を推奨しており、タイプ8が使えない場合にのみタイプ5と6を使ってもよいと推奨している。

　2013年以降に開発されたCisco SystemsのOS「IOS」からタイプ8が標準のパスワード方式になった。タイプ8のパスワードは「PasswordBased Key Derivation Function version 2」（PBKDF2）アルゴリズムを採用している。パスワードからキーを導出する際に、計算コストの高い処理を行うことで、総当たり攻撃やレインボーテーブル攻撃に対する耐性がある。PBKDF2アルゴリズム内部ではSHA-256ハッシュ関数を使って暗号化の強度を高めている。さらに各パスワードに対して80bitの一位のソルト値を適用して、同じパスワードであっても異なるハッシュ値を生成できるようにした。さらにパスワードのハッシュ化プロセスで2万回の反復を実行することで、ブルートフォース攻撃に対する耐性を高めている。タイプ8パスワードは一方向のハッシュであり、元のパスワードに戻すことができないため、パスワードの機密性を保護しやすい。

　なお、タイプ8はタイプ9と比較してリソースの消費量が少ない。NSAによればタイプ8のパスワードに関する既知の問題は見つかっていないため、NSAはタイプ8の使用を推奨した（キーマンズネット編集部）

　CISAはユーザーに対し、2019年7月に発行された国家安全保障局（NSA）のSmart Installの悪用に関する勧告を確認するよう促している（注7）。

　Cisco Systemsは2024年7月に「Cisco Smart Software Manager On-Prem」の認証システムに存在する重大な脆弱性についての勧告も発表している（注8）。

　この脆弱性は「CVE-2024-20419」として登録されており（注9）、深刻度を示すスコアは10だ。この脆弱性を悪用すると、認証されていない攻撃者が管理者を含む任意のユーザーのパスワードをリモートで変更できる可能性がある。Cisco Systemsによると、この脆弱性はパスワード変更プロセスの不適切な実装によるものだという。

　Cisco Systemsはこの脆弱性に対するアップデートをリリースしたが「回避策はない」と述べた（注10）。

出典：Attackers target legacy Cisco Smart Install features（Cybersecurity Dive）
注1：Best Practices for Cisco Device Configuration（CISA）
注2：@Shadowserver（X）
注3：Cisco Coverage for Smart Install Client Protocol Abuse（Cisco Talos Blog）
注4：Cisco Smart Install Protocol Misuse（Cisco Systems）
注5：Cisco-Talos/smi_check（Github）
注6：Cisco Password Types: Best Practices（NSA）
注7：CISCO®1 SMART INSTALL PROTOCOL MISUSE（NSA）
注8：Cisco Smart Software Manager On-Prem Password Change Vulnerability（Cisco Systems）
注9：CVE-2024-20419 Detail（NIST）
注10：Cisco Smart Software Manager On-Prem Password Change Vulnerability（Cisco Systems）