シスコの複数製品に脆弱性 － セキュリティアップデートをリリース

United States Computer Emergency Readiness Team (US-CERT)は8月27日(米国時間)、「Cisco Releases Security Updates ｜CISA」において、シスコシステムズの複数製品に脆弱性が存在し、同社がセキュリティアップデートをリリースしたと伝えた。これらの脆弱性を利用されると、攻撃者によってリモートコード実行やサービス拒否（DoS）攻撃、管理者権限の奪取などといった被害を受ける危険性がある。

シスコ製品の脆弱性に関する情報は、同社が提供している次のセキュリティアドバイザリのページで公表されている。

• Cisco Security Advisories

• Cisco Security Advisories

2020年8月26日から27日にかけて、影響度が「高(High)」の脆弱性が11件、「中」(Medium)の脆弱性が1件報告されている。こののうち影響度が「高（High）」のものを以下に挙げる。

• CVE-2019-1896「Cisco Integrated Management Controller CSR Generation Command Injection Vulnerability」
• CVE-2020-3338「Cisco NX-OS Software IPv6 Protocol Independent Multicast Denial of Service Vulnerability」
• CVE-2018-0306「Cisco NX-OS Software CLI Arbitrary Command Execution Vulnerability」
• CVE-2018-0307「Cisco NX-OS Software CLI Arbitrary Command Injection Vulnerability」
• CVE-2020-3454「Cisco NX-OS Software Call Home Command Injection Vulnerability」
• CVE-2020-3397「Cisco NX-OS Software Border Gateway Protocol Multicast VPN Denial of Service Vulnerability」
• CVE-2020-3398「Cisco NX-OS Software Border Gateway Protocol Multicast VPN Session Denial of Service Vulnerability」
• CVE-2020-3394「Cisco Nexus 3000 and 9000 Series Switches Privilege Escalation Vulnerability」
• CVE-2020-3415「Cisco NX-OS Software Data Management Engine Remote Code Execution Vulnerability」
• CVE-2020-3517「Cisco FXOS and NX-OS Software Cisco Fabric Services Denial of Service Vulnerability」
• CVE-2020-3452「Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Web Services Read-Only Path Traversal Vulnerability」

上記のリストからもわかる通り、今回報告されたアドバイザリにはNX-OS関連の脆弱性が8件含まれているなど、影響を受ける製品は多岐にわたる。Cybersecurity and Infrastructure Security Agency (CISA)では、ユーザーおよび管理者に対して、シスコによる上記のセキュリティアドバイザリを確認した上で必要に応じてアップデートを適用することを推奨している。