米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は2024年8月8日(米国時間)、「Best Practices for Cisco Device Configuration|CISA」において、スイッチの設定ツール「Cisco Smart Install」が悪用されているとして機能の無効化を推奨した。最近、デバイス上で利用可能なプロトコルやシステム設定ファイルの窃取が確認されたとしている。
この作業にあたっては、米国家安全保障局(NSA: National Security Agency)が公開しているガイダンス「(PDF) CISCO SMART INSTALL PROTOCOL MISUSE」および「(PDF) Network Infrastructure Security Guide」を閲覧して設定することが推奨されている。
-
Best Practices for Cisco Device Configuration|CISA
パスワードタイプの強化
CISAは上記の対策に加え、弱いパスワードタイプの使用が確認できるとしてパスワードタイプを8に設定するよう推奨した。弱いパスワードタイプは不正アクセスの可能性があるとして警告している。パスワードタイプの強度については、「シスコ製品のパスワードタイプ選択のベストプラクティス公開、米NSA | TECH+(テックプラス)」にて解説している。
また、米国家安全保障局が公開しているガイダンス「(PDF) Cisco Password Types: Best Practices」を確認し、管理者アカウントとパスワード保護のベストプラクティスに従うよう推奨している。具体例としては、管理者アカウントにすべてのシステム間で一意となる強力なパスワードを設定することが望まれている。
