United States Computer Emergency Readiness Team (US-CERT)は10月8日(米国時間)、「Cisco Releases Security Updates|CISA」において、シスコシステムズの複数製品に脆弱性が存在し、同社がセキュリティアップデートをリリースしたことを伝えた。これらの脆弱性を放置すると、攻撃者によって任意のコードを実行されたり、システムがサービス拒否(DoS)状態に陥らされたりするなどの危険性がある。
シスコ製品の脆弱性に関する情報は、同社が提供している次のセキュリティアドバイザリのページで公表されている。
-
Cisco Security Advisories
このページでは、2020年10月7日に影響度が「高(High)」の脆弱性が3件、「中(Medium)」の脆弱性が11件、合計で14件の脆弱性が報告されている。このうち、影響度「高」の脆弱性を以下に挙げる。
- Video Surveillance 8000シリーズIPカメラにおけるCisco Discovery Protocol実装の脆弱性によって、認証されていない攻撃者がデバイスで任意のコードを実行したり、デバイスをリロードしたりする可能性がある。
- Cisco Identity Services EngineのWebベースの管理インタフェースの脆弱性によって、リモートの攻撃者がデバイス設定一部を変更できる可能性がある。
- Windows用Cisco Webex Teamsクライアントの特定のDLLのロードメカニズムに脆弱性があり、ローカルの攻撃者が悪意のあるライブラリをロードする可能性がある。
Cybersecurity and Infrastructure Security Agency (CISA)は、ユーザーおよび管理者に対し、上記のセキュリティアドバイザリを確認した上で、必要なアップデートを適用するなどの対策を講じることを推奨している。
