Cisco、危険度最高値「10.0」の脆弱性など多数修正
「Cisco Prime Infrastructure」および「Cisco Evolved Programmable Network Manager」(EPNM)と、「Cisco Prime Collaboration Provisioning」にそれぞれ極めて危険度の高い脆弱性が存在する。
米Ciscoは6月29日から30日にかけ、複数製品の極めて深刻な脆弱性に対処するソフトウェアアップデートを公開した。悪用されれば認証を受けないリモートの攻撃者にシステムを制御される恐れがあるとして、米セキュリティ機関US-CERTもアップデートの適用を呼び掛けている。
Ciscoのセキュリティ情報によると、「Cisco Prime Infrastructure」および「Cisco Evolved Programmable Network Manager」(EPNM)と、「Cisco Prime Collaboration Provisioning」にそれぞれ極めて危険度の高い脆弱性が存在する。
Prime InfrastructureとEPNMの脆弱性は、HTTPリクエストの不適切な入力値検証に起因する。悪用された場合、細工を施したHTTPリクエストを送り付ける手口によって、悪質なコードをアプリケーションサーバにアップロードされたり、Prime InfrastructureやEPNMで管理されているデバイスの認証情報といった管理データを読まれたりする恐れがある。
一方、Cisco Prime Collaboration Provisioningの脆弱性は、Lightweight Directory Access Protocol(LDAP)の不適切な実装に原因がある。攻撃者がこの問題を突いてLDAPが設定されているデバイスにログインし、管理者特権を取得できてしまう可能性が指摘されている。
いずれも危険度は共通脆弱性評価システム(CVSS)のベーススコアで最も高い「10.0」。現時点で悪用されたという情報は入っていないという。
Ciscoはこの他にも、6月下旬にかけて多数の製品で危険度「高」〜「中」程度の脆弱性を修正している。
関連記事
Cisco製品にまた固定パスワードの脆弱性、「DROWN」問題の対応も説明
Cisco製スイッチのアカウントに固定パスワードが設定される極めて深刻な脆弱性に対処。OpenSSLやGNU glibcの脆弱性についても対応状況を説明している。
Cisco ASAシリーズに深刻な脆弱性、CVSS値は最大
危険度はCVSS最大値の10.0に達する。UDPパケット1つで悪用できてしまう恐れもあり、500番UDPポートは既にトラフィックの増大が見られるという。
Ciscoのアクセスポイントに固定パスワードの脆弱性
インストールの過程で作成されるデフォルトのユーザーアカウントに固定パスワードが使用されていた問題に対処。他にも多数の製品に見つかった深刻な脆弱性が修正された。
Cisco、Android向け「WebEx Meetings」の脆弱性を修正
悪用された場合、攻撃者がカスタムアプリケーションを利用して、WebExアプリケーションと同じパーミッションを密かに取得できてしまう恐れがある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
ITmediaはアイティメディア株式会社の登録商標です。