-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2018-0013 JPCERT/CC 2018-04-06 <<< JPCERT/CC Alert 2018-04-06 >>> Cisco Smart Install Client を悪用する攻撃に関する注意喚起 https://www.jpcert.or.jp/at/2018/at180013.html I. 概要 Cisco Talos は、2018年4月5日 (現地時間) に、Cisco Smart Install Client を悪用した攻撃に関するブログ記事を公開しました。Cisco Smart Install Client は、Cisco 製スイッチにおけるプラグアンドプレイ設定とイメージ管 理のための機能およびプロトコルです。公開された情報によると、この問題を 悪用する Cisco 製スイッチを対象とした攻撃が確認されているとのことです。 詳細は、Cisco Talos からの情報を参照してください。 Cisco Talos Critical Infrastructure at Risk: Advanced Actors Target Smart Install Client http://blog.talosintelligence.com/2018/04/critical-infrastructure-at-risk.html Cisco は、この問題に対して、2017年2月にアドバイザリを公開しています。 Cisco Cisco Smart Install Protocol Misuse https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi また、Cisco は、2018年3月28日 (現地時間) に、Cisco Smart Install Client について、この問題とは異なる脆弱性情報 (CVE-2018-0171) を記載し たアドバイザリを公開しています。詳細は Cisco からの情報を参照してくだ さい。 Cisco Cisco IOS and IOS XE Software Smart Install Remote Code Execution Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2 JPCERT/CC では、この脆弱性を悪用する攻撃コードの存在を確認しており、イン ターネット定点観測システム (TSUBAME) では、脆弱性の情報が公開された時 期から、Cisco Smart Install Client が使用する 4786/tcp ポートに対する スキャンが増加していることを確認しています。 https://www.jpcert.or.jp/at/2018/at180013_fig1.png 4786/tcp (Cisco Smart Install Client) へのスキャン [2018年3月1日〜2018年4月5日] Cisco からは、これらの問題を悪用されないようにする対策が示されています。 該当する製品の利用者は、適切な対策を施すことを推奨します。 II. 対象 Cisco の情報によると、次のソフトウエアがこれらの問題の影響を受けます。 - Cisco Smart Install Client 機能が有効になっている Cisco IOS ソフトウエア - Cisco Smart Install Client 機能が有効になっている Cisco IOS XE ソフトウエア III. 対策 Cisco からのアドバイザリを参考に対策を行うことを推奨します。 ・cisco-sa-20180328-smi2 Cisco から対策が施されたバージョンが提供されています。Cisco が提供する情報を参照の上、修正済みバージョンを適用することをお勧めします。 ・cisco-sa-20170214-smi 次の対策の実施を検討してください。 - Cisco Smart Install Client 機能が不必要に有効になっていないか確認する 運用している Cisco 製スイッチで、Cisco Smart Install Client 機能を使用 しない場合は、Cisco Smart Install Client 機能を無効にしてください。 - Cisco Smart Install Client に向けた外部からの通信を制限する Cisco Smart Install Client の機能を使用している場合は、必要最小限の IP アドレスからの通信のみ許可するよう制限することを検討してください。 IV. 参考情報 Cisco Talos Critical Infrastructure at Risk: Advanced Actors Target Smart Install Client http://blog.talosintelligence.com/2018/04/critical-infrastructure-at-risk.html Cisco Cisco Smart Install Protocol Misuse https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi Cisco Cisco IOS and IOS XE Software Smart Install Remote Code Execution Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180328-smi2 NICTER Blog Cisco Smart Install プロトコルを狙った攻撃の急増 http://blog.nicter.jp/reports/2018-03/cisco-switch-hack/ 今回の件につきまして当センターまで提供いただける情報がございましたら、 ご連絡ください。 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL:03-3518-4600 FAX: 03-3518-4602 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJa1Yt3AAoJEDF9l6Rp7OBIC+AIAKj5iT0XBAC35PUicYjBNu0T sOLajXS7Qe8wohAQ5p8oJiZeg1EKYD9Bs/1eAgzdEmYOjlzGPgSA2uxtjrRyPwYK St//PBTxQhBV0tj36DKYuO8MAdKoQxX4bxkdlMh5UYFpevdnKBe7JjErBccOyaFZ P5cqPMhVZBy5cG9igxW4o1vPikATUJ6dIM5noOeuz4Gey95D7+6nA3APRH6aqy4a YzG2JZ5/faJGXXo/xHZPuvtLMlY2FApX+BmhJfRs6CF0H9GAZin+k9ejD8ipYqP+ y15qSEVlCy3HL0IvPpShu3ErohWg/CG2AgfW6EnEMhhPoYzlClo75FHVZArZBI8= =qwSt -----END PGP SIGNATURE-----