ここから本文です

WikiLeaksで発覚したCisco IOSの重大な脆弱性を修正

ITmedia エンタープライズ 5/11(木) 9:39配信

 米Ciscoのスイッチなど、数百種類もの製品に搭載されている「Cisco IOS」「Cisco IOS XE Software」に重大な脆弱(ぜいじゃく)性が発覚していた問題で、この脆弱性を修正するソフトウェアアップデートが5月8日付で公開された。

【対象製品が多数】

 Ciscoによると、脆弱性はIOSとIOS XE SoftwareのCluster Management Protocol(CMP)処理コードに存在する。悪用された場合、攻撃者が脆弱性のあるデバイスとの間でTelnetセッションを確立し、細工を施したCMP指定Telnetコマンドを送り付けることによって、任意のコードを実行し、デバイスを完全に制御できてしまう可能性がある。TelnetのCMP指定オプションはデフォルトで有効になっているという。

 この問題を巡っては、米中央情報局(CIA)による監視活動の実態を示すとされる極秘文書「Vault 7」を告発サイトのWikiLeaksが3月に公開。Vault 7の関連文書を調査する過程で、IOSとIOS XE Softwareの脆弱性が発覚した。

 4月には、この脆弱性を突くエクスプロイトコードがセキュリティ研究者によって公開されていたという。しかしCiscoでは、「この脆弱性の悪用については確認されていない」としている。

最終更新:5/11(木) 9:39

ITmedia エンタープライズ