Cisco ExpresswayにCVSS9.6の脆弱性 回避策はないため急ぎアップデートを：セキュリティニュースアラート

CiscoはCisco Expresswayにクロスサイトリクエストフォージェリーの脆弱性が存在すると発表した。この脆弱性はCVSSスコアで9.6、深刻度「緊急」（Critital）と評価されている。

[後藤大地，有限会社オングス]

　Cisco Systems（以下、Cisco）は2024年2月7日（現地時間）、「Cisco Expressway」（「Cisco Expressway Control」および「Cisco Expressway Edgeデバイス」）にクロスサイトリクエストフォージェリ（CSRF）の脆弱（ぜいじゃく）性が存在すると伝えた。

Cisco Expressway ControlとCisco Expressway EdgeデバイスにCSRFの脆弱性が存在する（出典：CiscoのWebサイト）

Cisco ExpresswayにCVSSスコア9.6の脆弱性　急ぎ対処を

　対象の脆弱性は共通脆弱性評価システム（CVSS）スコアで9.6と分析されており深刻度「緊急」（Critical）に分類されている。

　影響を受ける脆弱性は以下の通りだ。

• CVE-2024-20252、CVE-2024-20254：　Cisco ExpresswayにおけるCSRFの脆弱性。これを悪用することで、認証されていない攻撃者が該当システムに対してCSRF攻撃を仕掛けられる。Webベースの管理インタフェースにおけるCSRF対策が不十分であることに原因があり、巧妙に細工されたリンクをたどるようにユーザーを誘導することで攻撃が実行される可能性がある。攻撃に成功すると、該当ユーザーの特権レベルで任意のアクションを実行できる他、攻撃対象のユーザーが管理者権限を持っていた場合は、システム構成の変更や新しい特権アカウントの作成などが実行される危険がある
• CVE-2024-20255：　これを悪用することで、認証されていない攻撃者が該当システムに対してCSRF攻撃を仕掛けられる。Webベース管理インタフェースにおけるCSRF対策が不十分であることに原因があり、巧妙に細工されたリンクをたどるようにユーザーを誘導することで攻撃が実行される可能性がある。攻撃に成功すると、該当ユーザーの特権レベルで任意のアクションを実行できる他、攻撃対象のユーザーが管理者権限を持っていた場合は、システム設定を上書きされたり、DoS攻撃を実行されたりする可能性がある

　脆弱性の影響を受けるバージョンは以下の通りだ。

• Cisco Expressway 14.0よりも前のバージョン
• Cisco Expressway 14.0
• Cisco Expressway 15.0

　脆弱性の影響を受けるバージョンは以下の通りだ。

• Cisco Expressway 14.3.4
• Cisco Expressway 15.0.0

　Cisco Expressway 14.0よりも前のバージョンを使っている場合、脆弱性が修正されたバージョンへの移行が求められる。

　今回の脆弱性は相互に依存しておらず、個別にエクスプロイトとして悪用できるとされている。一時的に問題に対処する方法は提供されていないため、該当製品を使用している場合は、セキュリティアドバイザーの内容を確認し、問題が修正されたバージョンにアップデートすることが推奨されている。