Cisco Umbrella、デフォルトSSHキーで管理者の認証情報を盗むことができることが発覚

Ciscoは、Cisco Umbrella Virtual Appliance (VA)の深刻度の高い脆弱性に対応するセキュリティアップデートをリリースし、認証されていない攻撃者がリモートで管理者クレデンシャルを盗むことができることを明らかにしました。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-uva-static-key-6RQTRs4c

Pinnacol Assurance社のFraser Hess氏は、Cisco Umbrella VAの鍵ベースのSSH認証機構にこの欠陥(CVE-2022-20773として追跡されている)を発見しました。

Cisco Umbrellaは、フィッシングやマルウェア、ランサムウェアなどの攻撃に対するDNSセキュリティとして、24,000以上の組織で利用されているクラウド型セキュリティサービスで、これらのオンプレミス仮想マシンを、DNSデータを記録、暗号化、認証する条件付きDNSフォワーダーとして使用しています。

この脆弱性は、静的 SSH ホスト鍵に存在しており、攻撃者はUmbrella VA への SSH 接続に対して中間者攻撃を行うことで、この脆弱性を悪用することができます。

成功すると、攻撃者は管理者の認証情報を知り、設定を変更し、VAを再読み込みすることができます。

この脆弱性は、3.3.2より前のソフトウェアバージョンを実行しているHyper-VおよびVMWare ESXi用のCisco Umbrella VAに影響するとのことです。

Umbrella VAのデフォルト設定には影響なし

幸いなことに、Ciscoによると、Umbrellaのオンプレミス仮想マシンではSSHサービスがデフォルトで有効になっていないため、この脆弱性の全体的な影響度は大幅に低下するとのことです。

Cisco Umbrella Virtual ApplianceでSSHが有効になっているかどうかを確認するためには、ハイパーバイザーのコンソールにログインし、CTRL+Bキーを押して設定モードに入り、config va showコマンドを実行してVAの設定をチェックする必要があります。

SSHが有効なシステムでは、コマンドの出力の最後に「SSH access : enabled」の行が含まれています。

このセキュリティ上の欠陥に対する回避策や緩和策はないため、Cisco はユーザに修正ソフトウェア リリースバージョンにアップグレードすることを推奨しています。

コメントを残す

メールアドレスが公開されることはありません。