Cisco AnyConnectに権限昇格の脆弱性 急ぎアップデートの適用を
Cisco AnyConnectに権限昇格の脆弱性が見つかった。同問題はWindows向けソフトウェアに影響を及ぼす。すでに修正済みのバージョンが公開されておりアップデートが推奨されている。
Cisco Systems(以下、Cisco)は2023年6月7日(現地時間)、クラウドセキュリティ製品「Cisco AnyConnect」にローカルのユーザーがSYSTEM権限まで特権昇格できる脆弱(ぜいじゃく)性が存在すると伝えた。
Cisco AnyConnectに存在する脆弱性の詳細は?
脆弱性は「CVE-2023-20178」として特定され、共通脆弱性評価システム(CVSS)のスコア値は7.8で深刻度は「重要」(High)に分類されている。
発見された脆弱性は、アップグレード作業中に作成される一時ディレクトリに不適切なアクセス許可が割り当てられていることが原因だ。サイバー攻撃者は「Windows」のインストーラプロセスにおける特定の機能を利用することでこの脆弱性を悪用でき、攻撃が成功した場合はシステム権限でコードを実行できるようになる。
同脆弱性の影響を受ける製品は以下の通りだ。
- Cisco AnyConnect Secure Mobility Client Software for Windows
- Cisco Secure Client Software for Windows
なお「Cisco Secure Client Software for Windows」はバージョン5.0よりも以前のバージョンは「Cisco AnyConnect Secure Mobility Client for Windows」という名称である点にも注意が必要だ。
脆弱性が修正されたバージョンは以下の通りだ。
- Cisco AnyConnect Secure Mobility Client Software for Windows 4.10MR7
- Cisco Secure Client Software for Windows 5.0MR2
Ciscoは以下の製品について脆弱性の影響を受けないと報告した。
- Cisco AnyConnect Secure Mobility Client for Linux
- Cisco AnyConnect Secure Mobility Client for macOS
- Cisco Secure Client-AnyConnect for Android
- Cisco Secure Client AnyConnect VPN for iOS
- Cisco Secure Client for Linux
- Cisco Secure Client for macOS
Ciscoは、同脆弱性を一次的に回避する方法はないとしており、脆弱性を修正した新しいバージョンにアップデートすることを推奨している。なお、サービス契約の有無で修正ソフトウェアの入手方法が異なっている。詳細は「Cisco AnyConnect Secure Mobility Client Software for Windows and Cisco Secure Client Software for Windows Privilege Escalation Vulnerability」を参照してほしい。
関連記事
- Ciscoのスモールビジネス向けスイッチシリーズにCVSS9.8の脆弱性 急ぎ対処を
Ciscoはスモールビジネス向けの複数のスイッチ製品に「緊急」の脆弱性が存在すると発表した。これが悪用されるとサービス運用妨害やルート権限でコードを実行される可能性がある。 - Ciscoが提供開始する「Cisco XDR」は従来のEDRを超える? 一体何ができるのか
Cisco Systemsは新たな脅威検出ソリューション「Cisco XDR」を2023年7月から提供開始する。リアルタイムでネットワークやエンドポイント全体の脅威検出が可能になるとしている。 - サイバーレジリエンスの成熟度調査、日本は最下位――シスコ調査
シスコシステムズは、ハイブリッドワーク時代における企業のサイバーレジリエンスの成熟度を測る調査を実施した。これによると、ほとんどの日本企業は体制が整っていないことが明らかになった。 - CVSSは9.8 Ciscoのアンチウイルスエンジン「ClamAV」に脆弱性、急ぎ対処を
アンチウイルスエンジン「ClamAV」に「緊急」の脆弱性が見つかった。CVSSスコア値は9.8と発表されている。ClamAVを使用しているCisco製品にもセキュリティアップデートが必要のため、急ぎ対処が求められる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.