このたび、Gigamon社よりGigaVUE-OSに関するセキュリティ強化対応について案内がありましたので、ご連絡申し上げます。
■概要
現在サポートされている GigaVUE-OS において、セキュリティ強度を向上させるための3件の
セキュリティ上の改善(ハードニング対応)が実施されました。
本件は以下のハードウェアプラットフォームを対象としています。
・GigaVUE-OS
HC シリーズ
GigaVUE-HC1 (GVS-HC101、GVS-HC102)
GigaVUE-HC1 Plus (GVS-HC1P1、GVS-HC1P2
GigaVUE-HC2 (GVS-HC201、GVS-HC202、GVS-HC2A1、GVS-HC2A2)
GigaVUE-HC3 (GVS-HC3A1、GVS-HC3A2、GVS-HC3A3、GVS-HC3A4)
GigaVUE-HCT (GVS-HCT01)
TA シリーズ
GigaVUE-TA1 (GVS-TA101、GVS-TA102)
GigaVUE-TA10 (GVS-TAX01、GVS-TAX02、GVS-TAX01A、GVS-TAX02A)
GigaVUE-TA25 (GVS-TAX21、GVS-TAX22、GVS-TAX21A、GVS-TAX22A)
GigaVUE-TA25E (GVS-TAX21E、GVS-TAX22E、GVS-TAX21EA、GVS-TAX22EA、GVS-TAX21EB、GVS-TAX22EB)
GigaVUE-TA40 (GVS-TAQ01、GVS-TAQ02)
GigaVUE-TA100 (GVS-TAC01、GVS-TAC02)
GigaVUE-TA200 (GVS-TAC21、GVS-TAC22)
GigaVUE-TA200E (GVS-TAC21E、GVS-TAC22E)
GigaVUE-TA400 (GVS-TAC41、GVS-TAC42)
GigaVUE-TA400E (GVS-TAC41E、GVS-TAC42E)
G TAPシリーズ
G-TAP A Series 2(GTP-ATX21、GTP-ASF21)
※TA1はEOSLのため対策版バージョンの提供はございません。
※TA10、TA40はGVOS6.1.xxまでのサポートのため対策版バージョンの提供はございません。
※HC2、TA100は6.5.06のみのバージョンの提供となります。
・GigaVUE-FM
該当致しません
現時点において、本件を悪用した被害報告は確認されていません。
また、これらの問題はいずれも リモートからの直接攻撃はできないと報告されています。
本セキュリティ強化を含む GigaVUE-OS の対象バージョンは以下の通りです。
対象バージョン(対応済みバージョン)
GVOS 6.12.01 以降
GVOS 6.9.03 以降
GVOS 6.5.06 以降
■内容詳細
問題①
物理的なシリアルコンソール接続を行った場合、GVOS 起動時にブートシーケンスを中断することで、
プラットフォームのシェルへ不正にアクセスできる可能性があります。
※ リモートからの悪用は不可
(重要度:高)
問題②
管理インターフェース上で内部 UDP ポートが公開されており、ポートプロファイリング統計情報の
参照および変更が可能となる可能性があります。
※ G-TAP A Series 2 は影響を受けません
※ リモートからの悪用は不可
(重要度:低~中)
問題③
GVOS に含まれる Net-SNMP(オープンソースソフトウェア)が旧バージョンであることが確認されました。
新しいバージョンへ更新することで、セキュリティ面の改善が行われています。
(重要度:低~中)
※ 本件に関連する CVE 番号および CVSS スコアは、現時点では割り当てられていません。
■対策
対象プラットフォームおよび該当バージョンをご利用中のお客様におかれましては、
上記いずれかの対応済みバージョンへのアップグレードを推奨いたします。
アップグレード用イメージおよび手順につきましては、弊社までお問い合わせください
■一時的な対策
以下の運用によりリスク低減が可能です。
・管理ポートへのアクセスを必要最小限のネットワークに限定
・不要なサービスの無効化
・強固なユーザー認証および定期的なパスワード変更
・管理ポートおよびシリアルコンソールポートを外部ネットワークへ公開しない
・機器の物理的なアクセス制御の徹底
・ログを SIEM 等へ連携し、不審な挙動を監視
■お問い合わせについて
ご不明点がございましたら、以下までお問い合わせください。
※有効な契約のあるシリアル番号をご記載ください。
NVCカスタマーサポート nvc-tac@nvc.co.jp (弊社営業日9:00~17:00)