CVSSスコアは10.0 Juniper Networksの複数製品に重大な脆弱性:セキュリティニュースアラート
Juniper Networksは複数の製品に重大な脆弱性が存在するとして、緊急アップデートを公開した。脆弱性はCVSSスコア10.0と評価されており、注意が必要だ。
Juniper Networksは2024年6月27日(現地時間)、同社の複数製品に存在する重大な脆弱(ぜいじゃく)性に対応した緊急アップデートを公開した。修正された脆弱性はCVE-2024-2973として特定されており、共通脆弱性評価システム(CVSS)のスコアは10.0で深刻度は「緊急」(Critical)に分類されているため注意が必要だ。
CVSSスコアは10.0 Juniperの複数製品に重大な脆弱性
脆弱性の影響を受ける製品とプラットフォームは以下の通りだ。
- Session Smart Router(SSR)
- 5.6.15より前の全てのバージョン
- 6.0から6.1.9-ltsより前のバージョン
- 6.2から6.2.5-stsより前のバージョン
- Session Smart Conductor
- 5.6.15より前の全てのバージョン
- 6.0から6.1.9-ltsより前のバージョン
- 6.2から6.2.5-stsより前のバージョン
- WAN Assurance Router
- 6.1.9-ltsより前の6.0バージョン
- 6.2.5-stsより前の6.2バージョン
この脆弱性の影響を受けるのは、高可用性冗長構成で実行されているルーターやコンダクターのみとされている。脆弱性が悪用された場合、API認証がバイパスされ、デバイスを完全に制御されてしまう可能性がある。Juniper Networksの社内セキュリティテストおよび調査中に発見された欠陥とされ、現時点でこの脆弱性を悪用した攻撃は確認されていない。
Session Smart Routerに対しては5.6.15、6.1.9-lts、6.2.5-stsにアップデートすることが推奨されている。Session Smart Conductorで管理している場合は、Conductorノードをアップグレードすることで接続されている全てのルーターに修正が自動的に適用される。「Juniper Mist」に接続されたWAN Assurance Routerに関しては自動的に修正が適用されるため、手動のアップデートは不要とされている。
この問題に対する既知の回避策はないと報告されており、影響を受ける可能性がある場合は速やかに最新バージョンにアップデートすることが唯一の対策となる。該当製品を使用しているユーザーは迅速にアップデートを適用することが強く推奨されている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- KADOKAWAのランサムウェア事案、脅威アクターが情報を流出か
KADOKAWAは2024年6月に発生した「ニコニコ」を中心としたサービス群を標的としたランサムウェア攻撃について、ランサムウェアグループが同グループの保有する情報を流出させたと主張していると伝えた。 - 「基本対策だけでは心配」な方に ちょっと発展的な“プラスセキュリティ”のススメ
サイバー攻撃が激化する昨今、企業はもちろん、個人でもセキュリティ対策を講じる必要があります。今回は「基本的な対策だけでは心配」という方に向けて筆者が実践している“ちょっと発展的な対策”を紹介します。 - JavaScriptのライブラリ「Polyfill.io」にマルウェア混入 10万以上のWebサイトに影響
SansecはJavaScriptのライブラリ「Polyfill.io」にマルウェアが混入したと伝えた。このマルウェアは10万以上のWebサイトに影響を与えた可能性がある。 - Microsoftが“四面楚歌” 政府機関などからインシデント対応について厳しい非難の声
MicrosoftはMicrosoft Exchange Onlineのハッキング被害に関する広範な欠陥を認めるとともに、企業や業界、国が前進するために必要なステップについて説明する予定だ。