この記事は会員限定です。会員登録すると全てご覧いただけます。
Cisco Systems(以下、Cisco)は2023年5月17日(現地時間)、スモールビジネス向けスイッチシリーズにバッファオーバーフローの脆弱(ぜいじゃく)性が存在すると報告した。
これらのスイッチにはWebベースのUIに複数の脆弱性があり、認証されていないユーザーが遠隔からサービス運用妨害を引き起こしたり、ルート権限で任意のコードを実行したりする可能性がある。
共通脆弱性評価システム(CVSS)の評価は9.8で深刻度「緊急」(Critical)に分類されていることから直ちに対応を取ることが望まれる。
Ciscoはスモールビジネス向けスイッチシリーズにバッファオーバーフローの脆弱性が存在すると報告した(出典:CiscoのWebサイト)
発表によると、脆弱性が存在する製品は以下の通りだ。
- 250シリーズスマートスイッチ
- 350シリーズマネージドスイッチ
- 350Xシリーズスタッカブルマネージドスイッチ
- 550Xシリーズスタッカブルマネージドスイッチ
- Business 250シリーズスマートスイッチ
- Business 350シリーズマネージドスイッチ
- Small Business 200シリーズスマートスイッチ
- Small Business 300シリーズマネージドスイッチ
- Small Business 500シリーズスタッカブルマネージドスイッチ
Ciscoは以下の製品については脆弱性が影響を与えないことを確認したと報告している。
- 220シリーズスマートスイッチ
- Busines 220シリーズスマートスイッチ
今回見つかった主な脆弱性は以下の通りだ。
- CVE-2023-20159:Cisco Small Businessシリーズスイッチのスタックバッファオーバーフローの脆弱性
- CVE-2023-20160:Cisco Small Businessシリーズスイッチの認証されていないBSSバッファ オーバーフローの脆弱性
- CVE-2023-20161:CiscoSmall Businessシリーズスイッチの認証されていないスタックバッファオーバーフローの脆弱性
- CVE-2023-20189:CiscoSmall Businessシリーズスイッチの認証されていないスタックバッファオーバーフローの脆弱性
- CVE-2023-20024:CiscoSmall Businessシリーズスイッチの認証されていないヒープバッファオーバーフローの脆弱性
- CVE-2023-20156:CiscoSmall Businessシリーズスイッチの認証されていないヒープバッファオーバーフローの脆弱性
- CVE-2023-20157:CiscoSmall Businessシリーズスイッチの認証されていないヒープバッファオーバーフローの脆弱性
- CVE-2023-20158:CiscoSmall Businessシリーズスイッチの認証されていないサービス拒否の脆弱性
- CVE-2023-20162:CiscoSmall Businessシリーズスイッチの認証されていない設定の読み取りの脆弱性
Ciscoは以下の製品に関しては問題を修正したファームウェアを提供している。
- 250シリーズスマートスイッチ
- 350シリーズマネージドスイッチ
- 350Xシリーズスタッカブルマネージドスイッチ
- 550Xシリーズスタッカブルマネージドスイッチ
- Business 250シリーズスマートスイッチ
- Business 350シリーズマネージドスイッチ
以下の製品に関してはすでにサポート終了(EOL)に到達しているとしてファームウェアアップデートは提供されておらず、今後提供する予定もないとされている。
- Small Business 200シリーズスマートスイッチ
- Small Business 300シリーズマネージドスイッチ
- Small Business 500シリーズスタッカブルマネージドスイッチ
Cisco PSIRTはこれらの脆弱性に関する概念実証(PoC)が存在しており、悪用可能な状態であることを確認している。該当製品を使用している場合は直ちにアップデートを適用するか、セキュリティサポートが提供されている製品に移行することなどが望まれる。
Copyright © ITmedia, Inc. All Rights Reserved.