Cisco AnyConnectに権限昇格の脆弱性が見つかった。同問題はWindows向けソフトウェアに影響を及ぼす。すでに修正済みのバージョンが公開されておりアップデートが推奨されている。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Cisco Systems(以下、Cisco)は2023年6月7日(現地時間)、クラウドセキュリティ製品「Cisco AnyConnect」にローカルのユーザーがSYSTEM権限まで特権昇格できる脆弱(ぜいじゃく)性が存在すると伝えた。
脆弱性は「CVE-2023-20178」として特定され、共通脆弱性評価システム(CVSS)のスコア値は7.8で深刻度は「重要」(High)に分類されている。
発見された脆弱性は、アップグレード作業中に作成される一時ディレクトリに不適切なアクセス許可が割り当てられていることが原因だ。サイバー攻撃者は「Windows」のインストーラプロセスにおける特定の機能を利用することでこの脆弱性を悪用でき、攻撃が成功した場合はシステム権限でコードを実行できるようになる。
同脆弱性の影響を受ける製品は以下の通りだ。
なお「Cisco Secure Client Software for Windows」はバージョン5.0よりも以前のバージョンは「Cisco AnyConnect Secure Mobility Client for Windows」という名称である点にも注意が必要だ。
脆弱性が修正されたバージョンは以下の通りだ。
Ciscoは以下の製品について脆弱性の影響を受けないと報告した。
Ciscoは、同脆弱性を一次的に回避する方法はないとしており、脆弱性を修正した新しいバージョンにアップデートすることを推奨している。なお、サービス契約の有無で修正ソフトウェアの入手方法が異なっている。詳細は「Cisco AnyConnect Secure Mobility Client Software for Windows and Cisco Secure Client Software for Windows Privilege Escalation Vulnerability」を参照してほしい。
Copyright © ITmedia, Inc. All Rights Reserved.