Informational
Informational
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
Cisco Merakiデバイスには、ローカルステータスページ(LSP)機能が実装されています。これはWebベースのインターフェイスで、主に管理者に対して、デバイスがCisco Merakiダッシュボードに接続するために必要な構成設定の適用、ローカルトラブルシューティングの実行、またはデバイスのステータスの監視を提供することを目的としています。
LSPには認証が必要です。工場出荷時のデフォルト設定で設定されている場合、LSPのクレデンシャルは、ユーザ名としてデバイスハードウェアのシリアル番号と空のパスワードで構成されます。攻撃者は、デフォルトのクレデンシャルのエントロピーが低く、LSP認証フォームに対するブルートフォース攻撃を実行するためのログイン試行を制限するメカニズムがない点を利用できます。成功した場合、攻撃者はLSPへの不正アクセスを取得し、LSPを使用して機密の設定オプションを変更したり、サービス妨害(DoS)状態を引き起こしたり、低特権の情報を取得したりする可能性があります。
LSPはデフォルトで有効になっています。
注:ハードウェアのシリアル番号はデバイスの表面に表示され、出荷パッケージに印刷されています。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-meraki-lsp-7xySn6pj
詳細
Cisco Merakiデバイスは、クラウド管理インターフェイス(Merakiダッシュボード)を使用して完全に管理できるように設計されています。さらに、Cisco Merakiデバイスには、デバイス上でローカルにホストされるWeb管理インターフェイスであるLSP機能が含まれています。LSP機能は通常、初期セットアップ中に使用され、デバイスがCisco Merakiダッシュボードに接続し、デバイスのステータスと使用率を監視し、ローカルのトラブルシューティングを実行するために必要な設定オプションを適用します。
この情報アドバイザリの対象読者は、工場出荷時のデフォルト設定でLSPを導入しているか、またはデバイスでこの機能が使用できることを認識していないCisco Merakiのお客様です。
出典
Cisco Merakiのお客様にLSP工場出荷時のデフォルト資格情報に対する認識を高めるための提案を行っていただいた、Safe Decision Cybersecurity LabsのMohammed Adel氏に感謝いたします。
URL
改訂履歴
| バージョン | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.0 | 初回公開リリース | - | Final | 2023年4月5日 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。