米シスコシステムズは12月15日(米国時間)、「Apache Struts Vulnerability Affecting Cisco Products: December 2023」において、Apache Strutsの脆弱性が同社製品にも影響を与えるとしてセキュリティアドバイザリを公開した。Apache Strutsの脆弱性は2023年12月7日に公開された脆弱性で、悪用されると攻撃者によって悪意のあるファイルがアップロードされ、リモートコードが実行される可能性がある(参考:「Apache Strutsにリモートコード実行の脆弱性、速やかに更新を | TECH+(テックプラス)」)。
Apache Strutsの脆弱性の影響を受ける製品とバージョン
この脆弱性の影響を受けることが確認された製品およびバージョンは次のとおり。
- Identity Services Engine Release 3.1より前のバージョン
- Unified SIP Proxy Software(調査、修正中)
Apache Strutsの脆弱性が修正された製品とバージョン
この脆弱性が修正された製品およびバージョンは次のとおり。
- Identity Services Engine Release 3.1およびこれ以降のバージョン
Apache Strutsの脆弱性の影響を受けない製品とバージョン
この脆弱性の影響を受けないことが確認された製品は次のとおり。
- Security Manager
- Nexus Dashboard Fabric Controller(旧Data Center Network Manager)
- Prime Access Registrar
- Prime Collaboration Assurance
- Prime Collaboration Provisioning
- Prime Infrastructure
- Computer Telephony Integration Object Server
- Enterprise Chat and Email
- Hosted Collaboration Mediation Fulfillment
- Packaged Contact Center Enterprise
- Unified Contact Center Enterprise
- Unified Contact Center Enterprise - Live Data server
- Unified Customer Voice Portal
- Unified Intelligent Contact Management Enterprise
- Unity Connection
Apache Strutsの脆弱性の影響を調査週の製品
このセキュリティ脆弱性の影響を受けると予想され、調査中の製品は次のとおり。
- Customer Collaboration Platform(旧SocialMiner)
- Prime License Manager
- Prime Service Catalog
- Emergency Responder
- Finesse
- Unified Communications Manager / Unified Communications Manager Session Management Edition
- Unified Communications Manager IM & Presence Service
- Unified Contact Center Express
- Unified Intelligence Center
- Virtualized Voice Browser
Ciscoはクラウドベースの製品について、これまでに脆弱性の影響を確認した製品はないが、今後の調査で影響が確認された場合は必要に応じて修復するとしている。また、この脆弱性はすでに概念実証(PoC: Proof of Concept)コードが公開されているため、注意を呼びかけている。
Apache Strutsの脆弱性の対策
この脆弱性はシスコ製品に対する深刻度として緊急(Critical)と評価されており、注意が必要。該当する製品を使用している管理者は、シスコのアドバイザリから影響の有無を確認し、必要に応じてアップデートすることが望まれている。
シスコは製品のアップデート前の注意点として、デバイスに十分なメモリが搭載されているか確認し、現在のハードウェア、ソフトウェアの構成が新しいバージョンの製品で適切にサポートされているかを確認する必要があるとしている。判断ができない場合はテクニカルアシスタンスセンター(TAC: Technical Assistance Center)に問い合わせることを推奨している。