シスコは、3月7日にウィキリークスが公開したCIA文書から自社のソフトウェアの脆弱性を知った。しかし、このセキュリティ上の欠陥はウィキリークスが指摘した問題には含まれていなかった。シスコのセキュリティチームが「Vault 7」の文書の山を掘り下げているときに自らこの問題を発見したのだ。
この脆弱性は次の 2 つの問題から生じました。
- CMP固有のTelnetオプションの使用をクラスタメンバー間の内部ローカル通信のみに制限せず、影響を受けるデバイスへのTelnet接続を介してそのようなオプションを受け入れて処理しないこと。
- 不正な CMP 固有の Telnet オプションが正しく処理されません。
シスコは、今後のソフトウェアアップデートでこの脆弱性に対処する予定であり、当面は回避策で問題を軽減することはできないと述べた。しかし、同社は顧客に対し、TelnetプロトコルからSSHへの切り替えを推奨している。これは、「着信接続の許可プロトコルとしてTelnetプロトコルを無効にすることで、攻撃ベクトルを排除できる」ためだ。切り替えができない場合でも、「インフラストラクチャアクセス制御リスト(iACL)を実装することで、攻撃対象領域を縮小できる」としている。
この脆弱性は3月17日に公表されました。シスコは当時、「シスコ製品セキュリティインシデント対応チーム(PSIRT)は、このアドバイザリに記載されている脆弱性に関する公表や悪意のある利用を認識していません」と述べています。ウィキリークスによるVault 7文書の公開から、数百の製品に影響を与える重大な脆弱性に関するシスコのアドバイザリ発表まで10日が経過していることを考えると、これは朗報と言えるでしょう。
Vault 7の膨大な情報源には、他にも脆弱性が発見されています。WikiLeaksは、CIAがエンドツーエンド暗号化メッセージングアプリを回避するためにスマートフォンを標的にしていること、CIAが主要なウイルス対策ソフトを回避していること、そしてCIAが自動車の遠隔ハッキングに関心を示していることを明らかにしました。(文書に名前が挙がっていたウイルス対策ベンダー3社(F-Secure、Avira、AVG)は、後にこれらの問題は解決済み、あるいは影響を軽視していると回答しました。)
Vault 7の文書には、さらに多くの問題が見つかる可能性が高いことが明らかになりました。しかも、それはWikiLeaksが公開を決定したファイル内だけでの話です。WikiLeaksは、公開を見送った内容について次のように述べています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ウィキリークスは「Year Zero」の暴露を慎重に検討し、CIAの重要な文書を公開したが、CIAのプログラムの技術的および政治的性質、およびそのような「兵器」をどのように分析し、武装解除し、公開すべきかについて合意が形成されるまでは、「武装した」サイバー兵器の配布を避けた。
ウィキリークスはまた、「数百もの影響力のある記事を意図的に書き上げなかったのは、他者がそれらの記事を見つけ、シリーズの後続記事のための専門知識を蓄積するためだ」と述べ、「記事を書く立場にあるジャーナリストや学者の数よりもはるかに多くの記事がある」と付け加えた。近い将来、より多くの企業が脆弱性を発見する(あるいはウィキリークスから直接情報を得る)ことが予想される。
