CISA

木曜日、米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局(CISA)は、最近の攻撃で悪用されたことを受け、従来のCisco Smart Install(SMI)機能を無効にするよう勧告した。

CISAは、脅威者がこの手口を使用し、他のプロトコルやソフトウェアを活用してシステム設定ファイルなどの機密データを盗んでいることを発見し、管理者に対して、このような継続的な攻撃をブロックするために、従来のSMIプロトコル(Cisco Network Plug and Playソリューションに取って代わられた)を無効にするよう警告を発した。

また、さらなる設定ガイダンスとして、NSAのSmart Install Protocol Misuse advisoryと Network Infrastructure Security Guideを確認することも推奨しています。

2018年、Cisco Talosチームは、ロシアに支援されたDragonfly APTグループ(Crouching YetiやEnergetic Bearとしても追跡されている)を含む複数のハッキンググループに関連する攻撃で、Cisco SMIプロトコルがCiscoスイッチを標的に悪用されていることも警告した。

攻撃者は、スイッチの所有者がプロトコルの設定や無効化を行わなかったことを利用し、SMIクライアントを実行したまま「インストール/設定」コマンドを待機させていた。

脆弱なスイッチにより、脅威者は設定ファイルの変更、IOSシステムイメージの置き換え、不正アカウントの追加、TFTPプロトコル経由での情報流出を行うことができました。

2017年2月と 2018年2月、シスコは、悪意のある行為者がインターネットに露出したSMI対応シスコデバイスを積極的にスキャンしていると顧客に警告した。

脅威モニタリングサービスのShadowserverは現在、Ciscoスマートインストール機能がオンラインに露出した6,000以上のIPアドレスを追跡しており、2023年8月の11,000以上から減少しています。

Cisco Smart Install online exposure
Cisco Smart Installのオンライン暴露(Shadowserver)

脆弱なパスワードの悪用

CISAは、攻撃者が脆弱なパスワードタイプを悪用してCiscoネットワークデバイスを侵害することを発見したため、管理者は本日、より優れたパスワード保護対策を実施するよう勧告された。

「Ciscoのパスワード・タイプとは、システム・コンフィギュレーション・ファイル内でCiscoデバイスのパスワードを保護するために使用されるアルゴリズムのタイプである。脆弱なパスワード・タイプを使用すると、パスワード・クラッキング攻撃が可能になる。

「いったんアクセスが可能になると、脅威者はシステム設定ファイルに簡単にアクセスできるようになる。これらの設定ファイルやシステム・パスワードにアクセスすることで、悪意のあるサイバー・アクターは被害者のネットワークを侵害することができる。組織は、ネットワーク機器上のすべてのパスワードが十分な保護レベルを用いて保存されていることを確認しなければならない。

CISAは、すべてのCiscoデバイスにNISTが承認したタイプ8のパスワード保護を使用することを推奨している。これは、パスワードがPassword-Based Key Derivation Function version 2 (PBKDF2)、SHA-256ハッシュアルゴリズム、80ビットソルト、20,000反復でハッシュ化されていることを保証するものです。

Type 8 の特権 EXEC モードパスワードを有効にすることと、Cisco デバイス上で Type 8 のパスワードを持つローカルユーザアカウントを作成することの詳細については、NSA のCisco Password Types:ベスト・プラクティス・ガイドに掲載されている。

サイバーセキュリティ機関は、設定ファイル内の管理者アカウントとパスワードを保護するためのベスト・プラクティスに従うことを推奨している。

これには、強力なハッシュ・アルゴリズムを使用してパスワードを適切に保存すること、システム間でのパスワードの再利用を避けること、強力で複雑なパスワードを使用すること、説明責任を果たさないグループ・アカウントを使用しないことなどが含まれる。