CVSSは「10.0」 Cisco IOS XE Softwareに「緊急」の脆弱性、回避策は未提供:セキュリティニュースアラート
CiscoはCisco IOS XE SoftwareのWeb UI機能に「緊急」の脆弱性が見つかったと伝えた。CVSSのスコアは「10.0」に分類されており、回避策は提供されていない。
Cisco Systems(以下、Cisco)は2023年10月16日(現地時間)、ネットワーキングソフトウェア「Cisco IOS XE Software」のWeb UI機能に脆弱(ぜいじゃく)性が存在すると伝えた。
サイバー攻撃者がこれを悪用すると、影響を受けたシステムにおいて特権レベルアクセス15のアカウントを作成でき、遠隔からシステムの制御権を乗っ取ることが可能になる。
CVSSスコアは「10.0」 回避策は未提供
CiscoはWeb UIの脆弱性を「CVE-2023-20198」として特定するとともに、深刻度を共通脆弱性評価システム(CVSS)のスコアで最大の「10.0」とし、「緊急」(Critical)と評価している。この脆弱性は積極的に悪用されていることが確認されており、迅速な対応が求められる。
Web UI機能は「ip http server」や「ip http secure-server」といったコマンドで有効化できる。既にこの機能が有効化されているかどうかはシステムにログインし、CLIで「show running-config | include ip http server|secure|active」とコマンドを入力することで確認できる。コマンドの出力として「ip http server」や「ip http secure-server」または双方が表示されている場合、既に該当機能が有効化されている。
上記のコマンドの出力結果が「ip http server」と「ip http active-session-modules none」の組み合わせだった場合、同脆弱性の影響は受けない。同じく上記コマンドの出力結果が「ip http secure-server」と「ip http secure-active-session-modules none」の組み合わせだった場合も同脆弱性の影響は受けないという。
Ciscoはシステムがサイバー攻撃者によって侵害された可能性があるかどうかをシステムログから判断する方法を説明している他、該当製品を使用している場合はインターネットに接続されている全ての該当デバイスにおいてHTTPサーバ機能を無効に設定することを強く推奨している。同脆弱性を回避する方法は提供されておらず、HTTPサーバ機能を無効化することが望まれる。
関連記事
- 見るべきは「CVSSスコア」“だけ”でいいのか? 脆弱性管理に役立つ指標をまとめてみた
脆弱性管理は単純なようで非常に難しい課題です。これを手助けする指標としては皆さんもご存じのCVSSがありますが、この指標だけを頼りにするのはおすすめしません。 - CloudflareとGoogle、AWSが注意喚起 ゼロデイ脆弱性「HTTP/2 Rapid Reset」とは?
CloudflareとGoogle、AWSは共同でゼロデイ脆弱性「HTTP/2 Rapid Reset」を発表した。これはHTTP/2のストリームキャンセル機能を悪用して極度に大規模なDDoS攻撃を引き起こすもので過去最大の攻撃が観測されている。 - サイバーセキュリティの「基本」は意外と“ムズい” 何からやるべきか
基本的なサイバーセキュリティ対策を怠った結果、情報漏えいやサイバー攻撃の被害に遭うケースが後を絶たない。しかし、セキュリティの「基本」は思っているより難しいようだ。 - なぜ被害が減らない? ランサムウェアの最新動向と企業にありがちな“2つの盲点”
なぜランサムウェアの被害が連日のように報道されるのだろうか。そこにはセキュリティ対策を怠りがちな企業によく見られる2つの盲点があった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.