Cisco製品に「Dirty COW」の悪用コード、誤って出荷しちゃった

[鈴木聖子，ITmedia]

　米Ciscoの社内で検証用に使っていた脆弱性の悪用コードが、誤って同社製品のソフトウェアイメージに含まれたまま出荷されていたことが分かった。Ciscoが2018年11月7日に公開したセキュリティ情報で明らかにした。この中には、「Dirty COW」と呼ばれるLinuxカーネルの脆弱性を突くコードが含まれるという。

　問題のコードが含まれていたのは、Ciscoの「Expressway Series」および「TelePresence Video Communication Server（VCS）」のソフトウェア。

　自動化されたソフトウェア開発システムの最終QA検証段階で不手際があり、Dirty COWなどの悪用コードが入り込んだまま出荷されてしまったという。QA検証の目的は、Cisco製品で、この脆弱性が修正されているかどうかを確認することにあった。

Ciscoの発表

　Dirty COWは2016年10月に発覚したLinuxカーネルの脆弱性で、マルウェアなどの攻撃にも悪用されている。

　Ciscoによると、製品に入り込んだのは「サンプルの休眠コード」で、この脆弱性を修正するために必要なパッチは全て適用されていることから、この製品に対する攻撃に利用される恐れも、製品そのものにリスクを生じさせる恐れもないと説明している。

　影響を受けるソフトウェアイメージはCisco Software Centerから削除され、間もなく修正版のソフトウェアイメージに入れ替えられる予定。

　今回の問題は、社内のセキュリティテストで発覚したもので、Ciscoがセキュリティ情報を発表する前に公表されたり悪用されたりしたという報告は入っていないという。