米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は9月2日(現地時間)、「Cisco Releases Security Updates for Cisco Enterprise NFVIS|CISA」において、シスコシステムズのCisco Enterprise NFV Infrastructure Software(NFVIS)に脆弱性が報告されていることを伝えた。この脆弱性を悪用されると、認証されていないリモートの攻撃者が認証機能を回避して対象のデバイスに管理者としてログインできる危険性があるという。

該当の脆弱性に関する情報は、シスコによる次のセキュリティアドバイザリにまとめられている。

  • Cisco Enterprise NFV Infrastructure Software Authentication Bypass Vulnerability

    Cisco Enterprise NFV Infrastructure Software Authentication Bypass Vulnerability

この脆弱性は、Enterprise NFVISのTACACS+ Authentication, Authorization and Accounting (AAA)における、認証スクリプトに渡される入力値の検証が不十分なことに起因しているという。したがって、TACACS外部認証方式が有効に設定されているNFVISがこの脆弱性の影響を受ける。Cisco Enterprise NFVIS Release 4.6.1以降にアップデートすることで、この脆弱性の影響を回避できるとのことだ。

この脆弱性はCVE-2021-34746として追跡されており、CVSS v3のベーススコアは9.8で、深刻度は5段階中最も高い「Critical(緊急)」に分類されている。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、シスコのセキュリティアドバイザリを確認するとともに、必要なアップデートを適用することを推奨している。