シスコシステムズの複数製品に脆弱性 － セキュリティアップデートがリリース

United States Computer Emergency Readiness Team (US-CERT)は8月6日(現地時間)、「Cisco Releases Security Updates for Multiple Products｜CISA」において、シスコシステムズの複数の製品に脆弱性が存在し、同社がセキュリティアップデートをリリースしたと伝えた。対象の脆弱性を悪用されると、攻撃者によって機密情報が奪われるなどの危険性がある。

シスコ製品の脆弱性に関する情報は、同社が提供している次のセキュリティアドバイザリのページで公表されている。

• Cisco Security Advisories

• Cisco Security Advisories

8月5日の時点で、影響度が"高"(High)の脆弱性が4件、"中"(Medium)の脆弱性が15件報告されている。このうち、影響後"高"のものを以下に挙げる。

• CVE-2020-3363「Cisco Small Business Smart and Managed Switches Denial of Service Vulnerability」
• CVE-2020-3411「Cisco DNA Center Information Disclosure Vulnerability」
• CVE-2020-3324「Cisco StarOS IPv6 Denial of Service Vulnerability」
• CVE-2020-3433「Cisco AnyConnect Secure Mobility Client for Windows DLL Hijacking Vulnerability」

CVE-2020-3363はスマートスイッチおよびマネージドスイッチにおけるIPv6着信トラフィックの検証が不十分なことに起因する脆弱性で、悪用されるとリモートの攻撃者によってサービス拒否状態を引き起こされる可能性がある。CVE-2020-3411はCisco DNA Centerにおける認証トークンの不適切な処理に起因する脆弱性で、悪用されるとリモートの攻撃者にシステムの機密情報にアクセスされる危険性がある。CVE-2020-3433はCisco StarOSに存在する脆弱性で、CVE-2020-3363と同様にIPv6着信トラフィックの検証が不十分なことが原因でリモートの攻撃者によってサービス拒否状態を引き起こされる可能性がある。

CVE-2020-3433はWindows版のCisco AnyConnect Secure Mobility Clientに存在するプロセス間通信に関する脆弱性で、実行時に読み込まれるリソースの検証が不十分なことが原因によるもの。この脆弱性を利用するには対象のWindowsにログインできる必要があるが、悪用されればDLLハイジャック攻撃によってシステム権限で任意のコードを実行される危険性がある。

Cybersecurity and Infrastructure Security Agency (CISA)ではユーザーおよび管理者に対し、上記のセキュリティアドバイザリを確認した上で、必要なアップデートを適用することを推奨している。