ニュース
Ciscoのスモールビジネス向けスイッチシリーズにCVSS9.8の脆弱性 急ぎ対処を
Ciscoはスモールビジネス向けの複数のスイッチ製品に「緊急」の脆弱性が存在すると発表した。これが悪用されるとサービス運用妨害やルート権限でコードを実行される可能性がある。
Cisco Systems(以下、Cisco)は2023年5月17日(現地時間)、スモールビジネス向けスイッチシリーズにバッファオーバーフローの脆弱(ぜいじゃく)性が存在すると報告した。
これらのスイッチにはWebベースのUIに複数の脆弱性があり、認証されていないユーザーが遠隔からサービス運用妨害を引き起こしたり、ルート権限で任意のコードを実行したりする可能性がある。
共通脆弱性評価システム(CVSS)の評価は9.8で深刻度「緊急」(Critical)に分類されていることから直ちに対応を取ることが望まれる。
CVSSは9.8 該当製品を確認して急ぎ対処を
発表によると、脆弱性が存在する製品は以下の通りだ。
- 250シリーズスマートスイッチ
- 350シリーズマネージドスイッチ
- 350Xシリーズスタッカブルマネージドスイッチ
- 550Xシリーズスタッカブルマネージドスイッチ
- Business 250シリーズスマートスイッチ
- Business 350シリーズマネージドスイッチ
- Small Business 200シリーズスマートスイッチ
- Small Business 300シリーズマネージドスイッチ
- Small Business 500シリーズスタッカブルマネージドスイッチ
Ciscoは以下の製品については脆弱性が影響を与えないことを確認したと報告している。
- 220シリーズスマートスイッチ
- Busines 220シリーズスマートスイッチ
今回見つかった主な脆弱性は以下の通りだ。
- CVE-2023-20159:Cisco Small Businessシリーズスイッチのスタックバッファオーバーフローの脆弱性
- CVE-2023-20160:Cisco Small Businessシリーズスイッチの認証されていないBSSバッファ オーバーフローの脆弱性
- CVE-2023-20161:CiscoSmall Businessシリーズスイッチの認証されていないスタックバッファオーバーフローの脆弱性
- CVE-2023-20189:CiscoSmall Businessシリーズスイッチの認証されていないスタックバッファオーバーフローの脆弱性
- CVE-2023-20024:CiscoSmall Businessシリーズスイッチの認証されていないヒープバッファオーバーフローの脆弱性
- CVE-2023-20156:CiscoSmall Businessシリーズスイッチの認証されていないヒープバッファオーバーフローの脆弱性
- CVE-2023-20157:CiscoSmall Businessシリーズスイッチの認証されていないヒープバッファオーバーフローの脆弱性
- CVE-2023-20158:CiscoSmall Businessシリーズスイッチの認証されていないサービス拒否の脆弱性
- CVE-2023-20162:CiscoSmall Businessシリーズスイッチの認証されていない設定の読み取りの脆弱性
Ciscoは以下の製品に関しては問題を修正したファームウェアを提供している。
- 250シリーズスマートスイッチ
- 350シリーズマネージドスイッチ
- 350Xシリーズスタッカブルマネージドスイッチ
- 550Xシリーズスタッカブルマネージドスイッチ
- Business 250シリーズスマートスイッチ
- Business 350シリーズマネージドスイッチ
以下の製品に関してはすでにサポート終了(EOL)に到達しているとしてファームウェアアップデートは提供されておらず、今後提供する予定もないとされている。
- Small Business 200シリーズスマートスイッチ
- Small Business 300シリーズマネージドスイッチ
- Small Business 500シリーズスタッカブルマネージドスイッチ
Cisco PSIRTはこれらの脆弱性に関する概念実証(PoC)が存在しており、悪用可能な状態であることを確認している。該当製品を使用している場合は直ちにアップデートを適用するか、セキュリティサポートが提供されている製品に移行することなどが望まれる。
関連記事
- Ciscoが提供開始する「Cisco XDR」は従来のEDRを超える? 一体何ができるのか
Cisco Systemsは新たな脅威検出ソリューション「Cisco XDR」を2023年7月から提供開始する。リアルタイムでネットワークやエンドポイント全体の脅威検出が可能になるとしている。 - サイバーレジリエンスの成熟度調査、日本は最下位――シスコ調査
シスコシステムズは、ハイブリッドワーク時代における企業のサイバーレジリエンスの成熟度を測る調査を実施した。これによると、ほとんどの日本企業は体制が整っていないことが明らかになった。 - CVSSは9.8 Ciscoのアンチウイルスエンジン「ClamAV」に脆弱性、急ぎ対処を
アンチウイルスエンジン「ClamAV」に「緊急」の脆弱性が見つかった。CVSSスコア値は9.8と発表されている。ClamAVを使用しているCisco製品にもセキュリティアップデートが必要のため、急ぎ対処が求められる。 - Ciscoルーターに見つかったCVSS9.0の脆弱性 アップデートは提供予定なし
Cisco Systemsは小規模ビジネス向けのルーターに複数の脆弱性が存在することを伝えた。本稿公開時点では、修正用のアップデートの提供は予定されていない。該当製品を使用している場合は、推奨される緩和策を適用してほしい。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.