米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は8月26日(現地時間)、「Cisco Releases Security Updates for Multiple Products|CISA」において、シスコシステムズが複数の製品について脆弱性を修正するセキュリティアップデートをリリースしたと伝えた。
これらの脆弱性を放置すると、悪意を持った第三者によって影響を受けたシステムで任意のファイルの編集、サービス拒否(DoS)や特権昇格などの攻撃に悪用される危険性がある。
セキュリティアップデートに関する情報は、次のセキュリティアドバイザリページにまとめられている。
-
Cisco Security Advisories
今回のアップデートで修正された脆弱性は合計16件で、 影響度がCritical(緊急)のものが2件、high(高)のものが6件、Medium(中程度)のものが8件となっている。このうち、影響度がCriticalのものは以下のとおり。
- CVE-2021-1577: Cisco Application Policy Infrastructure Controller Arbitrary File Read and Write Vulnerability
- CVE-2021-22156: BlackBerry QNX-2021-001 Vulnerability Affecting Cisco Products: August 2021
CVE-2021-1577は、Cisco Application Policy Infrastructure Controller(APIC)およびCisco Cloud Application Policy Infrastructure Controller(Cloud APIC)のAPIエンドポイントの脆弱性によって、認証されていないリモートの攻撃者が影響を受けるシステム上で任意のファイルを読み書きできるというもの。CVE-2021-22156は、BlackBerry QNXで報告されている脆弱性によるもので、攻撃者が任意のコードの実行やDoS攻撃が可能になるというものだ。
-
Cisco Application Policy Infrastructure Controller Arbitrary File Read and Write Vulnerability
-
BlackBerry QNX-2021-001 Vulnerability Affecting Cisco Products: August 2021
影響度Highの脆弱性は以下のとおりとなっている。
- CVE-2021-1587: Cisco NX-OS Software VXLAN OAM (NGOAM) Denial of Service Vulnerability
- CVE-2021-1588: Cisco NX-OS Software MPLS OAM Denial of Service Vulnerability
- CVE-2021-1586: Cisco Nexus 9000 Series Fabric Switches ACI Mode Multi-Pod and Multi-Site TCP Denial of Service Vulnerability
- CVE-2021-1523: Cisco Nexus 9000 Series Fabric Switches ACI Mode Queue Wedge Denial of Service Vulnerability
- CVE-2021-1578: Cisco Application Policy Infrastructure Controller Privilege Escalation Vulnerability
- CVE-2021-1579: Cisco Application Policy Infrastructure Controller App Privilege Escalation Vulnerability
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、上記のセキュリティアドバイザリを確認し、必要なアップデートを適用することを推奨している。
