ニュース
Cisco ExpresswayにCVSS9.6の脆弱性 回避策はないため急ぎアップデートを:セキュリティニュースアラート
CiscoはCisco Expresswayにクロスサイトリクエストフォージェリーの脆弱性が存在すると発表した。この脆弱性はCVSSスコアで9.6、深刻度「緊急」(Critital)と評価されている。
Cisco Systems(以下、Cisco)は2024年2月7日(現地時間)、「Cisco Expressway」(「Cisco Expressway Control」および「Cisco Expressway Edgeデバイス」)にクロスサイトリクエストフォージェリ(CSRF)の脆弱(ぜいじゃく)性が存在すると伝えた。
Cisco ExpresswayにCVSSスコア9.6の脆弱性 急ぎ対処を
対象の脆弱性は共通脆弱性評価システム(CVSS)スコアで9.6と分析されており深刻度「緊急」(Critical)に分類されている。
影響を受ける脆弱性は以下の通りだ。
- CVE-2024-20252、CVE-2024-20254: Cisco ExpresswayにおけるCSRFの脆弱性。これを悪用することで、認証されていない攻撃者が該当システムに対してCSRF攻撃を仕掛けられる。Webベースの管理インタフェースにおけるCSRF対策が不十分であることに原因があり、巧妙に細工されたリンクをたどるようにユーザーを誘導することで攻撃が実行される可能性がある。攻撃に成功すると、該当ユーザーの特権レベルで任意のアクションを実行できる他、攻撃対象のユーザーが管理者権限を持っていた場合は、システム構成の変更や新しい特権アカウントの作成などが実行される危険がある
- CVE-2024-20255: これを悪用することで、認証されていない攻撃者が該当システムに対してCSRF攻撃を仕掛けられる。Webベース管理インタフェースにおけるCSRF対策が不十分であることに原因があり、巧妙に細工されたリンクをたどるようにユーザーを誘導することで攻撃が実行される可能性がある。攻撃に成功すると、該当ユーザーの特権レベルで任意のアクションを実行できる他、攻撃対象のユーザーが管理者権限を持っていた場合は、システム設定を上書きされたり、DoS攻撃を実行されたりする可能性がある
脆弱性の影響を受けるバージョンは以下の通りだ。
- Cisco Expressway 14.0よりも前のバージョン
- Cisco Expressway 14.0
- Cisco Expressway 15.0
脆弱性の影響を受けるバージョンは以下の通りだ。
- Cisco Expressway 14.3.4
- Cisco Expressway 15.0.0
Cisco Expressway 14.0よりも前のバージョンを使っている場合、脆弱性が修正されたバージョンへの移行が求められる。
今回の脆弱性は相互に依存しておらず、個別にエクスプロイトとして悪用できるとされている。一時的に問題に対処する方法は提供されていないため、該当製品を使用している場合は、セキュリティアドバイザーの内容を確認し、問題が修正されたバージョンにアップデートすることが推奨されている。
関連記事
- 脆弱性管理ツールSnykのライセンス販売から導入、運用支援までをワンストップで提供
日立システムズエンジニアリングサービスはSnykとリセラー契約を締結し、Snykの脆弱性管理ツールの販売と導入・運用支援を国内で開始すると発表した。 - Excel経由でのマルウェア感染に要注意 Fortinetが新たな手口を公開
FortinetはExcelファイルを通じて情報窃取型マルウェアを配布する新たな手口を発表した。この攻撃はExcelファイル内のVBAマクロから始まり、最終的にWebブラウザのデータまでを窃取する。 - OTシステムへの攻撃はすぐそこまで来ている マルウェア解析から分かった攻撃者の狙い
サプライチェーン攻撃の激化に伴い、ITシステムだけでなくOTシステムを狙ったサイバー攻撃が本格化する恐れがある。OTを狙ったマルウェアの実態と攻撃者の目的をリサーチャーが語った。 - SaaSのセキュリティ対策ってどうやるの? まずは周辺のリスクを整理しよう
SaaS事業者がサイバー攻撃の被害を受けてサービスを停止したり、ヒューマンエラーなどによって個人情報が漏えいしたりといったセキュリティ事案が発生している。安心、安全なSaaSを見極めてセキュリティ性を適切に評価するポイントを探ります。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.