Informational
Informational
アドバイザリーID : cisco-sa-20170214-smi
初公開日 : 2017-02-14 00:00
最終更新日 : 2018-05-23 11:20
バージョン 4.2 : Final
回避策 :
No Workarounds available
Cisco バグ ID :
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
シスコでは、セットアップ完了後もSmart Install機能が有効のままであり、適切なセキュリティ制御が行われていないデバイスを検出しようとするインターネットスキャンが大幅に増加していることを認識しています。これにより、関係するデバイスが機能の誤用の影響を受けやすくなります。まだお使いでないお客様は、このNoticeの「推奨事項」セクションのガイダンスに従って、ネットワークスイッチがSmart Install機能の悪用から適切に保護されているかどうかを評価し、確認することを推奨します。
複数の研究者が、統合ブランチクライアント(IBC)とも呼ばれるSmart Installクライアントに対するSmart Install(SMI)プロトコルメッセージの使用について報告しています。これにより、認証されていないリモートの攻撃者がstartup-configファイルを変更してデバイスのリロードを強制し、デバイスに新しいIOSイメージをロードし、Cisco IOSおよびIOS XEソフトウェアが稼働するスイッチで高特権CLIコマンドを実行できます。
Smart Install ネットワークは、1 台の Smart Install ディレクタ スイッチまたはルータ(統合ブランチ ディレクタ(IBD)とも呼ばれる)、1 台以上の Smart Install クライアント スイッチ(統合ブランチ クライアント(IBC)とも呼ばれる)で構成されます。クライアントスイッチはディレクタに直接接続する必要はありませんが、最大7ホップ離れた場所に配置できます。このドキュメントで説明されている誤用の影響を受けるのは、Smart Installクライアントスイッチのみです。
ディレクタは、クライアント スイッチのイメージおよびコンフィギュレーションの単一管理ポイントとなります。クライアントスイッチがネットワークに初めてインストールされると、ディレクタは自動的に新しいスイッチを検出し、ダウンロードする正しいCisco IOSイメージとコンフィギュレーションファイルを特定します。また、IPアドレスとホスト名をクライアントに割り当てることもできます。
クライアント スイッチでは、Smart Install 機能はデフォルトで有効化されています。クライアントスイッチでの設定は必要ありません。
Cisco Talosグループは、環境内でSmart Install機能が有効になっているデバイスをスキャンするために使用できるツールを開発しました。このツールの詳細については、Talosのブログ記事を参照してください。
Smart Install機能の詳細については、『Smart Install Configuration Guide』を参照してください。
no vstackコマンドを使用できないネットワークについては、「Smart Install機能を使用してゼロタッチ導入を超えるお客様」セクションを参照してください。
注:次のCisco IOSおよびIOS XEのリリースでは、Cisco不具合CSCvd99197が原因でno vstackコマンドがリロード後に保持されることはありません(この問題はプラットフォームに依存しませんが、下記のリリースのいくつかは、Directorとしてのみ動作できるハードウェアプラットフォームのみをサポートしています)。
インフラストラクチャ内のすべてのIBCへのアクセスをさらに制限するには、ネットワーク内の他のデバイスで次のセキュリティベストプラクティスを使用します。
https://sec.cloudapps.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20120328-smartinstall
Smart Install機能によって書き込み操作が実行され、ログレベルが6(情報)以上に設定されている場合、ログにメッセージが表示されます。
startup-configを置き換えると、通常、該当するデバイスのログに次のメッセージが表示されます。
シスコは、侵入防御システム(IPS)シグニチャID 7856-0とSnortルール 41722-41725を公開し、お客様のネットワークでのSmart Installプロトコルメッセージの使用を検出できるようにしています。Snortルールの詳細については、Talosブログ記事を参照してください。
誤検出を避けるために、このシグニチャおよびSnortルールは、Smart Install機能を使用していないネットワークや、Smart Installプロトコルメッセージが表示されないと考えられるネットワーク内の場所でのみ有効にする必要があります。
次のベストプラクティスも使用して、環境内で起こりうる異常をより詳細に把握できるようにすることが推奨されます。
複数の研究者が、統合ブランチクライアント(IBC)とも呼ばれるSmart Installクライアントに対するSmart Install(SMI)プロトコルメッセージの使用について報告しています。これにより、認証されていないリモートの攻撃者がstartup-configファイルを変更してデバイスのリロードを強制し、デバイスに新しいIOSイメージをロードし、Cisco IOSおよびIOS XEソフトウェアが稼働するスイッチで高特権CLIコマンドを実行できます。
シスコでは、これはCisco IOS、IOS XE、またはSmart Install機能自体の脆弱性ではなく、設計上の認証を必要としないSmart Installプロトコルの誤用であると見なしています。ゼロタッチ導入を超える導入を検討しているお客様は、代わりにシスコネットワークプラグアンドプレイソリューションの導入を検討してください。
シスコは、Smart Install設定ガイドを更新し、お客様のインフラストラクチャへのCisco Smart Install機能の導入に関するセキュリティのベストプラクティスを含めました。
これらの問題は、Tenable Network Security、Trustwave SpiderLabsのDaniel Turner、Digital SecurityのAlexander EvstigneevおよびDmitry Kuznetsovによって報告されています。
シスコは最近、Smart Install機能の悪用からネットワークスイッチを適切に保護する必要があることをお客様に警告するブログ投稿を公開しました。シスコはこの機能の悪用の可能性を詳しく説明する公開投稿を知り、Smart Installが有効なままになっている場合に攻撃のレポートを受け取っています。これらのブログ投稿は、次のリンク先で確認できます。
追加情報
Cisco Smart Install
Cisco Smart Installは、新しい(通常はアクセスレイヤ)スイッチのゼロタッチ導入を可能にする「プラグアンドプレイ」構成およびイメージ管理機能です。この機能により、お客様は、スイッチを追加設定することなく出荷し、ネットワークに設置して電源を投入するだけで使い始めることができます。Smart Install 機能は、仕様上認証を備えていません。Smart Install ネットワークは、1 台の Smart Install ディレクタ スイッチまたはルータ(統合ブランチ ディレクタ(IBD)とも呼ばれる)、1 台以上の Smart Install クライアント スイッチ(統合ブランチ クライアント(IBC)とも呼ばれる)で構成されます。クライアントスイッチはディレクタに直接接続する必要はありませんが、最大7ホップ離れた場所に配置できます。このドキュメントで説明されている誤用の影響を受けるのは、Smart Installクライアントスイッチのみです。
ディレクタは、クライアント スイッチのイメージおよびコンフィギュレーションの単一管理ポイントとなります。クライアントスイッチがネットワークに初めてインストールされると、ディレクタは自動的に新しいスイッチを検出し、ダウンロードする正しいCisco IOSイメージとコンフィギュレーションファイルを特定します。また、IPアドレスとホスト名をクライアントに割り当てることもできます。
クライアント スイッチでは、Smart Install 機能はデフォルトで有効化されています。クライアントスイッチでの設定は必要ありません。
Cisco Talosグループは、環境内でSmart Install機能が有効になっているデバイスをスキャンするために使用できるツールを開発しました。このツールの詳細については、Talosのブログ記事を参照してください。
Smart Install機能の詳細については、『Smart Install Configuration Guide』を参照してください。
プロトコル誤使用機会
クライアントとディレクタの間のSmart Installプロトコルに許可または認証メカニズムが存在しないと、クライアントは巧妙に細工されたSMIプロトコルメッセージを、これらのメッセージがSmart Installディレクタからのものであるかのように処理し、次のリストに示すようなアクションを実行できます。- IBC上のTFTPサーバアドレスの変更
- IBCから攻撃者が制御するTFTPサーバに任意の1ファイルをコピーします
- クライアントのstartup-configファイルを、攻撃者が準備したファイルに置き換え、定義された時間間隔の後にIBCのリロードを強制します
- 攻撃者が提供したIOSイメージをIBCにロードする
- do-exec CLIコマンドを含め、IBC上で高権限コンフィギュレーションモードのCLIコマンドを実行します。コマンドの実行によって出力される、またはプロンプトは、IBCのローカルコンソールに表示されます(これは、IOS 15.2(2)E以降およびIOS XE 3.6.0E以降でのみ可能です)
1 IOSまたはIOS XE CLIで通常のcopyコマンドを使用してアクセスできる、任意のファイルシステムの任意のファイル。
推奨事項
Cisco Smart Install機能に関するセキュリティのベストプラクティスは、特定のお客様の環境での機能の使用方法によって異なります。次の項では、各ユースケースのガイダンスを示します。Smart Install機能を使用していないお客様
Cisco Smart Install機能を使用せず、このコマンドを使用できるCisco IOSまたはCisco IOS XEソフトウェアリリースを実行しているお客様は、設定コマンドno vstackを使用してSmart Install機能(クライアントまたはディレクタ)を無効にする必要があります。次の例は、Smart Installクライアント機能が有効になっているCisco Catalystスイッチでのshow vstack configコマンドの出力を示しています。これらは、Smart Installクライアント機能が有効になっていることを示す唯一の出力です。
switch1#show vstack config
Role: Client
.
.
.
switch2#show vstack config
Role: Client (SmartInstall enabled)
.
.
.
switch3#show vstack config注:Smart Installクライアント機能を無効にするためのno vstackグローバルコンフィギュレーションコマンドの使用は、Cisco不具合CSCtj75729(TCPポート4786でSmart Installデフォルトサービスをシャットダウンする機能)の修正で導入されました。Cisco IOSまたはIOS XEソフトウェアリリースがSmart Installクライアント機能をサポートしていても、no vstackコマンドが存在しない場合、そのリリースにはシスコ不具合CSCtj75729の修正が含まれていません。
Capability: Client
Oper Mode: Enabled
Role: Client
.
.
.
no vstackコマンドを使用できないネットワークについては、「Smart Install機能を使用してゼロタッチ導入を超えるお客様」セクションを参照してください。
注:次のCisco IOSおよびIOS XEのリリースでは、Cisco不具合CSCvd99197が原因でno vstackコマンドがリロード後に保持されることはありません(この問題はプラットフォームに依存しませんが、下記のリリースのいくつかは、Directorとしてのみ動作できるハードウェアプラットフォームのみをサポートしています)。
- 12.2(60)EZ11
- 15.1(2)SY11
- 15.2(1)SY5
- 15.2(2)SY3
- 15.2(5)E2、15.2(5)E2a、15.2(5)E2b
- 15.4(1)SY3
- 3.9.2E、3.9.2aE、3.9.2bE
ゼロタッチ導入のためだけにSmart Install機能を利用しているお客様
ゼロタッチ導入のためだけにSmart Install機能を使用しているお客様は、スイッチの導入後に設定コマンドno vstackを使用してSmart Install機能を無効にする必要があります。no vstackコマンドの詳細については、「Smart Install機能を使用していないお客様」セクションを参照してください。Smart Install機能をゼロタッチ導入以上に活用しているお客様
ゼロタッチ導入以上でCisco Smart Install機能を活用しており、no vstackコマンドを使用できない場合は、IBDのみがポート4786ですべてのIBCにTCP接続できることを確認する必要があります。管理者は、影響を受けるデバイスでの Cisco Smart Install の導入に関する以下のセキュリティ ベスト プラクティスを使用することができます。- インターフェイス アクセス コントロール リスト(ACL)
- コントロールプレーンポリシング(CoPPはすべてのCisco IOSソフトウェアリリースで使用できるわけではありません)
ip access-list extended SMI_HARDENING_LISTこの ACL は、すべての IBC のすべての IP インターフェイスに展開する必要があります。先にスイッチを展開すると、IBD を介してプッシュできます。
permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
deny tcp any any eq 4786
permit ip any any
インフラストラクチャ内のすべてのIBCへのアクセスをさらに制限するには、ネットワーク内の他のデバイスで次のセキュリティベストプラクティスを使用します。
- Infrastructure Access Control List(iACL; インフラストラクチャ アクセス コントロール リスト)
- VLANアクセスコントロールリスト(VACL)
https://sec.cloudapps.cisco.com/security/center/content/CiscoAppliedMitigationBulletin/cisco-amb-20120328-smartinstall
セキュリティ侵害の痕跡
攻撃者がTFTPサーバのアドレスを変更したり、Smart Install機能を使用してデバイスからファイルをコピーしたりする兆候はありません。外部IPアドレスからのアクセスを探すことをお勧めします。Smart Install機能によって書き込み操作が実行され、ログレベルが6(情報)以上に設定されている場合、ログにメッセージが表示されます。
startup-configを置き換えると、通常、該当するデバイスのログに次のメッセージが表示されます。
コンフィギュレーションモードでSmart Install機能を使用して高特権コマンドを実行すると、通常は該当デバイスのログに次のメッセージが作成されます。%SMI-6-UPGRD_STARTED: Device (IP address: 0.0.0.0) startup-config upgrade has started
%SYS-5-CONFIG_NV_I: Nonvolatile storage configured from tftp://<ip-address>/my.conf by <username> on console
%SMI-6-UPGRD_SUCCESS: Device (IP address: 0.0.0.0) startup-config has upgraded successfully
Smart Install機能によってリロードが発生し、ログレベルが5(通知)以上に設定されている場合、次のメッセージのいずれかがログに表示されます。%SMI-6-DWNLD_STARTED: Device (IP address: 0.0.0.0) post install file download has started
%SMI-6-DWNLD_SUCCESS: Device (IP address: 0.0.0.0) post install file has downloaded successfully
.
.
.
%SMI-6-UPGRD_STARTED: Device (IP address: 0.0.0.0) startup-config upgrade has started
クライアントスイッチのローカルログとクライアントスイッチがsyslogサーバに送信するログに加えて、ファイアウォールのログとNetFlowデータも確認する必要があります。%SYS-5-RELOAD: Reload requested by SMI IBC Download Process. Reload reason: Switch upgraded through Smart Install
%SYS-5-RELOAD: Reload requested by Delayed Reload. Reload reason: HULC SMI Scheduled Reload after Config Download
%SYS-5-RELOAD: Reload requested by Delayed Reload. Reload reason: HULC SMI Scheduled Reload
シスコは、侵入防御システム(IPS)シグニチャID 7856-0とSnortルール 41722-41725を公開し、お客様のネットワークでのSmart Installプロトコルメッセージの使用を検出できるようにしています。Snortルールの詳細については、Talosブログ記事を参照してください。
誤検出を避けるために、このシグニチャおよびSnortルールは、Smart Install機能を使用していないネットワークや、Smart Installプロトコルメッセージが表示されないと考えられるネットワーク内の場所でのみ有効にする必要があります。
次のベストプラクティスも使用して、環境内で起こりうる異常をより詳細に把握できるようにすることが推奨されます。
- 価値の高いネットワークセグメント、デバイス、および個人に焦点を当てた補助的な機器を実装し、ネットワークデバイスを監視してトラフィックのモニタリングを可能にする(テレメトリベースのインフラストラクチャデバイスの整合性モニタリング)
- Cisco IOS NetFlowを実装して、ネットワークの各部分から発生するトラフィックフローを可視化し、予想されるトラフィックに対する評価を行う
- 予期しないネットワークデバイスレベルのアクティビティを特定するためのネットワークデバイスイベントロギングの監視
シスコのセキュリティ手順
シスコ製品のセキュリティの脆弱性に関するレポート、セキュリティ障害に対する支援、およびシスコからのセキュリティ情報を受信するための登録に関するすべての情報は、シスコのワールドワイド ウェブサイト https://sec.cloudapps.cisco.com/security/center/resources/security_vulnerability_policy.html から入手できます。この情報には、シスコのセキュリティ通知に関して、報道機関が問い合せる場合の説明も含まれています。すべての Cisco セキュリティ アドバイザリは、http://www.cisco.com/go/psirt から入手できます。
URL
改訂履歴
| バージョン | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 4.2 | CSCvd99197の該当製品とバージョンを更新:「no vstack」はリロード後も保持されません。 | 推奨事項 | Final | 2018年5月23日 |
| 4.1 | show vstack configの出力を更新し、Catalyst 6500がSMIディレクタ機能のみをサポートすることを明記しました。ME 3400とME 3400EはSMIをサポートしていないため、これらの情報を削除しました。 | 推奨事項 | 2018 年 4 月 16 日 | |
| 4.0 | 露出の増加に関する更新、CSCvd99197に関する注記を追加。 | シスコの回答、推奨事項 | 2017年10月30日 | |
| 3.0 | 任意のファイルやログメッセージをコピーする可能性に関する更新。 | プロトコルの悪用の機会、侵害の痕跡 | 2017年3月3日 | |
| 2.1 | 影響を受けるデバイスの出力を明確化。 | 推奨事項 | 2017年3月1日 | |
| 2.0 | 人権侵害に関する最新情報 | — | 2017年2月27日 | |
| 1.0 | 初版リリース. | — | 2017年2月14日 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。