Ciscoのスモールビジネス向けスイッチシリーズにCVSS9.8の脆弱性 急ぎ対処を

Ciscoはスモールビジネス向けの複数のスイッチ製品に「緊急」の脆弱性が存在すると発表した。これが悪用されるとサービス運用妨害やルート権限でコードを実行される可能性がある。

[後藤大地，有限会社オングス]

　Cisco Systems（以下、Cisco）は2023年5月17日（現地時間）、スモールビジネス向けスイッチシリーズにバッファオーバーフローの脆弱（ぜいじゃく）性が存在すると報告した。

　これらのスイッチにはWebベースのUIに複数の脆弱性があり、認証されていないユーザーが遠隔からサービス運用妨害を引き起こしたり、ルート権限で任意のコードを実行したりする可能性がある。

　共通脆弱性評価システム（CVSS）の評価は9.8で深刻度「緊急」（Critical）に分類されていることから直ちに対応を取ることが望まれる。

Ciscoはスモールビジネス向けスイッチシリーズにバッファオーバーフローの脆弱性が存在すると報告した（出典：CiscoのWebサイト）

CVSSは9.8　該当製品を確認して急ぎ対処を

　発表によると、脆弱性が存在する製品は以下の通りだ。

• 250シリーズスマートスイッチ
• 350シリーズマネージドスイッチ
• 350Xシリーズスタッカブルマネージドスイッチ
• 550Xシリーズスタッカブルマネージドスイッチ
• Business 250シリーズスマートスイッチ
• Business 350シリーズマネージドスイッチ
• Small Business 200シリーズスマートスイッチ
• Small Business 300シリーズマネージドスイッチ
• Small Business 500シリーズスタッカブルマネージドスイッチ

　Ciscoは以下の製品については脆弱性が影響を与えないことを確認したと報告している。

• 220シリーズスマートスイッチ
• Busines 220シリーズスマートスイッチ

　今回見つかった主な脆弱性は以下の通りだ。

• CVE-2023-20159：Cisco Small Businessシリーズスイッチのスタックバッファオーバーフローの脆弱性
• CVE-2023-20160：Cisco Small Businessシリーズスイッチの認証されていないBSSバッファ オーバーフローの脆弱性
• CVE-2023-20161：CiscoSmall Businessシリーズスイッチの認証されていないスタックバッファオーバーフローの脆弱性
• CVE-2023-20189：CiscoSmall Businessシリーズスイッチの認証されていないスタックバッファオーバーフローの脆弱性
• CVE-2023-20024：CiscoSmall Businessシリーズスイッチの認証されていないヒープバッファオーバーフローの脆弱性
• CVE-2023-20156：CiscoSmall Businessシリーズスイッチの認証されていないヒープバッファオーバーフローの脆弱性
• CVE-2023-20157：CiscoSmall Businessシリーズスイッチの認証されていないヒープバッファオーバーフローの脆弱性
• CVE-2023-20158：CiscoSmall Businessシリーズスイッチの認証されていないサービス拒否の脆弱性
• CVE-2023-20162：CiscoSmall Businessシリーズスイッチの認証されていない設定の読み取りの脆弱性

　Ciscoは以下の製品に関しては問題を修正したファームウェアを提供している。

• 250シリーズスマートスイッチ
• 350シリーズマネージドスイッチ
• 350Xシリーズスタッカブルマネージドスイッチ
• 550Xシリーズスタッカブルマネージドスイッチ
• Business 250シリーズスマートスイッチ
• Business 350シリーズマネージドスイッチ

　以下の製品に関してはすでにサポート終了（EOL）に到達しているとしてファームウェアアップデートは提供されておらず、今後提供する予定もないとされている。

• Small Business 200シリーズスマートスイッチ
• Small Business 300シリーズマネージドスイッチ
• Small Business 500シリーズスタッカブルマネージドスイッチ

　Cisco PSIRTはこれらの脆弱性に関する概念実証（PoC）が存在しており、悪用可能な状態であることを確認している。該当製品を使用している場合は直ちにアップデートを適用するか、セキュリティサポートが提供されている製品に移行することなどが望まれる。