Cisco Systemsは、同社の通信ソフトウェアとセキュリティツールに見つかった脆弱性に関し、攻撃者がネットワークにアクセスできてしまう可能性があるとの警告を発した。
同社は米国時間15日、自社ウェブサイトに勧告を掲載し、Cisco Unity統合通信ソフトウェアのバージョン2、3、4に影響を及ぼすこの脆弱性を顧客に警告した。同社はまた、企業をDoS(サービス拒否)攻撃から守るツール、Cisco Guardに見つかった同様の問題についても警告している。
Cisco Unityは、ユーザーがインターネットから電話を介して電子メールを読み上げさせたり、音声メッセージをチェックできるようにする統合型の通信ソフトウェア。これをサードパーティー製のファックスサーバと統合すれば、受信文書を近くのファックスに転送することもできる。
Cisco Unityに見つかった問題は、MicrosoftのExchangeプログラムと統合した場合に、同ソフトウェアがデフォルトのパスワードで利用できるユーザーアカウントを作成してしまうというもの。Unityのインストール時にパスワードを変更しないと、外部のユーザーがログオンし、送受信される電子メールを読めるようになってしまう。また、同時に一部の管理機能も利用可能になってしまう。
Ciscoは15日、自社ウェブサイト上に解決方法を掲載したが、このうち最も簡単な対処方法は、これらのアカウントのデフォルトパスワードを変更することだ。デフォルトのパスワードが付いたままで変更が必要なアカウントは、同社ウェブサイトに掲載されている。
Ciscoによると、2005年第1四半期にリリース予定の新バージョン、Cisco Unityバージョン4.0(5)では、この問題は解決されているという。
Ciscoは、10月にも自社の統合通信製品用のセキュリティアップグレードをいくつか発表し、具体的には音声メッセージのセキュリティ改善を行っていた。
Ciscoはまた、Cisco Guardの脆弱性についても警告している。Cisco Unity製品同様、Cisco Guardにもデフォルトでユーザー名とパスワードが割り当てられている。Cisco Guardの3.1より前のバージョンが影響を受けるこの問題は、これらの設定を変更すれば解決できる。この問題の詳細と解決方法についてはCiscoのウェブサイトに情報が掲載されている。
DoS攻撃を受けると、ネットワークに膨大な数のパケットが送りつけられて、スイッチ、ルータ、サーバでは処理が滞り、継続的に再起動してしまう。Cisco Guard製品はトラフィックの異常を検知し、攻撃対象になったサーバを保護するためにこのトラフィックを迂回させる機能を持つ。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」