シスコ、IOS関係の脆弱性に対応する修正パッチ3件を公開

　Cisco Systemsは米国時間5月21日、「Cisco Internetwork Operating System」（Cisco IOS）に影響のある重大な脆弱性の修正パッチを3件発表した。脆弱性の最も深刻なものは、「Cisco Voice Portal」とセキュアシェルサーバ（SSH）の実装に関するものだ。

　Ciscoによると、パッチの1つは音声と動画によるセルフサービスを統合した「Cisco Unified Customer Voice Portal（CVP）」の脆弱性に対応するものだ。この脆弱性を利用すると、認証されたユーザーがスーパーユーザーのアカウントを作成、変更、消去できる。つまり、悪用されると、システムを完全に制御されるおそれがある。

　2件目のパッチはCisco IOSのSSHサーバの実装に関するもので、複数の脆弱性に対応している。この脆弱性を利用すると、未認証ユーザーが偽のメモリアクセスエラーを生成でき、場合によってはデバイスのリロードが可能になる。Ciscoによると、IOS SSHサーバはデフォルトでは無効にされているオプションのサービスだが、一方で、Cisco IOS搭載デバイスを管理する際のセキュリティのベストプラクティスとして利用が推奨されている。

　3件目のパッチは「Cisco Service Control Engine（SCE）」に存在するSSHの3つの脆弱性に対応するもので、これらの脆弱性は、システムの不安定やSCEのリロードにつながるおそれがあるという。Ciscoによると、脆弱性の1つはブルートフォースによるSSHのログインを引き金として悪用されるおそれがある。2つ目の脆弱性は、通常のSSHログインとその時に行われているSCEのほかの管理アクションを引き金として悪用されるおそれがある。3つ目の脆弱性は、特定の不正な認証情報を使って悪用されるおそれがある。

　VoIPシステムに対する攻撃は一般的なものになってきている。2008年の「Shmoocon」では、VigilarのシニアセキュリティアーキテクトであるJohn Kindervag氏が、病院の待合室、会議室、ホテルの客室などはこうした攻撃に対して特に無防備だと語った。

　結論：Cisco IOSの利用者は、今日すぐにアップデートを入手すること。