Local Statusページの脆弱性
脆弱性の概要
Local Statusページ機能を持つ特定のCisco Merakiデバイスで脆弱性が発見されました。このページは、通常は初期セットアップ時、またはデバイスを移動した場合や上位ネットワークの設定が変更された場合に、デバイスのクラウドへの接続を維持するために必要ないくつかの主要な設定オプションを変更するために使用されます。全てのアタッカーは攻撃者と変更ください。
このページは、通常は初期セットアップ時、または設定アップストリームの移動/変更後にデバイスの接続を維持するために必要ないくつかの主要設定オプションで使用されます。この脆弱性により、アタッカーは設定のオプションとデータをデバイスに挿入することが可能になります。アタッカーはデバイスに物理的に接続するか、あるいはローカルネットワークに侵入し、クレデンシャル情報を使ってLocal Statusページにログインする必要があります。
影響の評価
Meraki MR、MS、MXの全モデルが本脆弱性の対象となります。Merakiは、これらの脆弱性に対応するためのファームウェアをすでにリリースしています。影響があった全てのお客様に、デバイスのファームウェアをこのセキュリティ修正が含まれるバージョンへアップグレードすることを強く推奨しています。
次のステップ
次の内容は、完全に問題に対応、もしくはデバイスを保護するのに役立ちます。
-
Fix(修正):次回ファームウェアが修正リリース版にアップグレードされるよう、メンテナンス ウィンドウをスケジューリングします。
-
Mitigation(軽減):デバイスのファームウェアがアップグレードされるまでLocal Statusページを無効にします。
修正済ファームウェア バージョン
製品ライン |
修正済みリリース |
MR |
24.13以降 25.11以降 それ以降全てのメジャーリリース |
MS |
9.37以降 10.20以降 それ以降全てのメジャーリリース |
MX |
13.32以降 14.25以降 15.7以降 それ以降全てのメジャーリリース |
FAQ
この脆弱性の潜在的な影響はどのようなものですか?
潜在的な影響は、アタッカーがアクセスできる単一デバイスに限定されます。これを利用するアタッカーは、設定オプションをデバイス自体に挿入することが可能になります。これにより、アタッカーはデバイスのローカル構成ファイルに書き込みを行えるようになります。アタッカーは設定ファイルに書き込みを行い、そのデバイスに対する自分により高い権限を付与できることができます。そのデバイスに対する自分の権限をエスカレートさせることができます。
このエクスプロイトの実行はどの程度複雑ですか?
アタッカーは、Local Statusページへの認証アクセスを求められます。そのためには、アタッカーはローカル ネットワーク上でデバイスへのアクセスおよび/またはデバイスへの物理的に接続しかつページのクレデンシャル情報を知っている必要があります。
直ちに行える対策はありますか?
[ネットワーク全体] > [一般]からLocal Statusページ(ローカル機器ステータスページ)を無効にします。こちらにページを無効化するためのドロップダウンメニューが用意されています。ページを無効にすると、アタッカーによる認証がブロックされ、脆弱性を悪用するために必要なアクセス レベルを得られなくなります。このプロセスを説明したドキュメンテーションへのリンクは、こちらに用意されています。
これらの脆弱性からネットワークを保護するにはどうすればよいですか?
Local Statusページのクレデンシャル情報をデフォルトのデバイス シリアル番号から独自のものに変更することをお勧めします。また、影響を受けるMeraki製品のファームウェアをパッチが含まれるリリースにアップグレードするように強く推奨します。パッチ適用バージョンの詳細については、上記の「修正情報」をご覧ください。
すべてのネットワークのLocal Statusページを一括で更新するツールはありますか?
Local Statusページを有効化/無効化するためのAPIをご用意しております。呼び出しを作成し、ドメイン名(my.meraki.com)またはIPアドレスを通じてページを無効化することができます。APIの呼び出しについては、[ヘルプ] > [API ドキュメント]でご確認いただけます。
パッチ適用後のファームウェアにアップグレードする方法を教えてください
お客様は、ファームウェア アップグレード ツール(Firmware Upgrade Tool)を使用してファームウェア アップグレードをスケジューリングできます。ツールの詳細に関するドキュメンテーションは、こちらに用意されています。
修正が用意されていないデバイスはありますか?
Meraki Mini/Outdoor/Outdoor 2/Solar/Wallplug/MR11/MR14/MR58アクセス ポイントとMX 50/70セキュリティ アプライアンスはサポートが終了しており、上記ファームウェア バージョンをサポートしていません。これらのデバイスには修正は用意されません。[ネットワーク全体] > [一般] > [機器設定]でLocal Statusページ(ローカル機器ステータスページ)を無効にするか、独自の複雑なパスワードを設定することを強くお勧めします。
前述の古いデバイスの1つを利用しており、アップグレードを希望しています。どのようなオプションがありますか?
アップグレード オプションに関する情報については、Merakiの販売担当者までお問い合わせください。