2025年4月9日、SANS Internet Storm Centerは、2018年に発見されたCiscoネットワーク機器の脆弱性「CVE-2018-0171」が依然として悪用されていると警告を発しました。この脆弱性は、Ciscoの「Smart Install」機能に起因し、リモートコード実行(RCE)を許す重大なセキュリティホールです。発見から7年が経過しているにも関わらず、多くの組織が対策を講じておらず、攻撃者による悪用が継続しています。
脆弱性の概要:CVE-2018-0171とは
問題の脆弱性は、Ciscoの「Smart Install」機能に関するもので、認証なしで任意のコードを実行可能にするリモートコード実行脆弱性です。Smart Installは、ネットワーク機器を自動構成するための便利な仕組みですが、以下の三重の問題点を抱えていました
- 初期状態でSmart Install機能が有効になっている
- 通信プロトコルに認証機構が存在しない
- 外部ネットワークからアクセス可能な状態で公開されがちである。
これらの要素が重なることで、認証を経ずに外部から任意のコマンドが送信可能となり、深刻なリスクにつながります。特に、TCPポート4786を開放しているデバイスがインターネット上に多数存在しており、Censysの調査では1,200台以上が公開状態にあることが
実証と攻撃手法:SIETツールを用いた分析
実際の攻撃例として、SANSのレポートではCisco Catalyst 3750スイッチ(IOS 12.2(55)SE11)を対象にSIET(Smart Install Exploit Tool)というオープンソースツールを使った実証が行われています。このツールは、対象機器に対し、設定ファイルの窃取や改ざん、悪意のあるIOSファイルの転送などを可能にします。
攻撃手順としては、まず”vstack”コマンドでSmart Install機能を有効化し、ポート4786でリスン状態にします。次に、SIETから細工されたパケットを送信し、例えば”copy system:running-config flash:/config.txt”のようなコマンドで設定ファイルをデバイス上にコピーします。その後、TFTPプロトコルを使ってそのファイルを攻撃者側のサーバに送信することで、内部情報を盗み出すというものです。
さらに問題となるのは、設定ファイル中に保存されていたパスワードがType 7形式(Vigenère暗号)であり、これが非常に脆弱であることです。攻撃者はこのパスワードを容易に解析し、管理者権限を持つアカウントでSSHログインすることが可能になります。しかも新しいアカウントを作成せずに正規のアカウントを悪用するため、痕跡を残しにくく、検知も難しいという厄介さがあります。
悪用するAPTの存在:「Salt Typhoon」
本脆弱性を現在も活発に悪用しているのは、中国を拠点とするAPT(高度持続的脅威)グループ「Salt Typhoon(ソルト タイフーン)」であると報告されています。同グループは2024年後半、VerizonやAT&T、T-Mobileなどの米国大手ISPに対する攻撃でも注目を集めました。これらの攻撃は、米国の上院議員が「史上最悪のテレコムハック」と評するほどの被害となり、通信インフラの根幹に大きな影響を及ぼしました。
セキュリティ 対策
企業・団体が講じるべき対策としては、以下が挙げられます。
- Smart Install機能の無効化(”no vstack”の設定)
- IOSの最新バージョンへのアップデート
- ポート4786の遮断やACLによるアクセス制限
- TFTPサービスの停止または制限
- 監視ログの定期確認とアラート設定
関連記事
中国のAPTグループ ソルト タイフーンが米大手プロバイダーへ侵入し盗聴や不正アクセス
ソルト タイフーンの不正アクセスで米政府はAT&T、ベライゾン、ルーメンへ聴取
ホワイトハウス、中国のサイバー・スパイ活動「ソルト・タイフーン」を非難:高位政治家を標的
中国のAPTグループ ソルトタイフーンにより米国政府関係者の「プライベート通信」が侵害される
米国、中国政府系ハッカー集団「ソルト・タイフーン」の関係企業に制裁
JPCERTがVolt Typhoonの攻撃キャンペーン「Operation Blotless」に関して注意喚起
F5 BIG-IPの脆弱性 PoCがリリース(CVE-2025-20029)
FortiGateのデバイス 認証情報漏洩で被害者のメールアドレスが公開 JPドメインも確認
中国系スパイグループ「UNC3886」がサポート終了した Juniper ルーターを標的にサイバー攻撃