CiscoのIOSというと、何をイメージするでしょうか。
IOSはずっと以前からCiscoのネットワーク機器向けに開発・提供されてきたオペレーティングシステムです。
ルータなどの製品のためにCiscoが開発してきたOSで、以前はどの製品にもこれが搭載されていました。
いろいろな会社から提供されるいろいろな製品には、高機能化の流れが続いています。
どんどんと登場するいろいろな会社からの新製品には新しい機能が搭載されてきます。
競合他社に見劣らない製品を提供し続けていくために、拡張開発は継続されます。
やがて独自OS環境での開発は負担を増大させていきました。
Ciscoは、やがて、大きな一つの決断を実施しました。
自社の開発する独自のIOSというスタイルから、IOS機能を提供するIOSd(IOS機能を提供するdaemon、常駐型ソフトウェア)をカスタマイズ版のLinux環境で動作させるというスタイルへの変換です。
これによりCiscoのIOSを使用する製品の開発期間は、従来に比較すると改善されたことと思われます。
しかも、従来のIOSの機能の部分はほぼそのまま利用できる形式に仕上がりましたので、利用者にとっても移行の痛みのないものとなりました。
しかし、IOS XEには、良い点だけがあったわけではありませんでした。
Linux環境で動作する製品となりましたので、他のソフトウェアが汎用OS上で構築される際に必要となるすべての注意点に気をつける必要が生じてきました。
最近、このIOS XEにおける脆弱性が確認されています。
- CVE-2025-20188
これは、CVSSスコアが10.0の脆弱性です。
ワイヤレスコントローラソフトウェアの部分に任意のファイルアップロードの脆弱性があったというものになっています。
通常の管理通信とは別の方式でアクセスポイントイメージをダウンロードする機能があるのですが、この部分に存在する脆弱性です。
これにより、認証されていないリモートの攻撃者が、影響を受けるシステムに任意のファイルをアップロードできる可能性があります。
脆弱性の悪用には認証は必要ありません。
単に加工されたHTTPSリクエストを投げるだけで実行することができてしまいます。
そしてその内容は、システムにハードコードされたJSON Web Tokenを悪用するという内容となっています。
この結果として、脅威の攻撃者がデバイスを完全に侵害する可能性があります。
ハードコーディングとは、ソフトウェア開発において、ソースコードに直接データや設定値を埋め込むことを指します。
例えば、APIキーやデータベース接続情報などをコード内に直接記述するケースです。
開発の場面で一時的な解決策としては便利に見えますが、コードの可読性や保守性を損ない、将来的に修正や変更が困難になる可能性があります。
そしてそれよりも深刻なのは、秘密情報(パスワードやAPIキーなど)をソースコードに直接埋め込むと、この例のようにセキュリティ上の脆弱性を生じます。
この脆弱性はすでに対策されたものが提供されていますので、適用し対策しておく必要があります。
ネットワーク機器だからサーバ機に比較すると安全だろう、などといった根拠のない安全感を持つことは危険です。
適切な資産管理と有効なパッチケイデンスが私たちの身を守ります。
Cisco IOS XE Wireless Controller Software Arbitrary File Upload Vulnerability
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wlc-file-uplpd-rHZG9UfC
| この記事をシェア |
|
|---|
