米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は10月7日(米国時間)、「Cisco Releases Security Updates for Multiple Products|CISA」において、シスコシステムズが複数の製品について脆弱性を修正するセキュリティアップデートをリリースしたと伝えた。これらの脆弱性を放置すると、悪意を持った第三者によって任意のコード実行やサービス拒否(DoS)、特権昇格いった攻撃に悪用される危険性がある。
セキュリティアップデートに関する情報は、次のセキュリティアドバイザリページにまとめられている。
-
Cisco Security Advisories
今回のアップデートで修正された脆弱性は合計18件で、 high(高)のものが6件、Medium(中程度)のものが11件、Informational(情報提供)のものが1件となっている。これらのうち、影響度Highのものは以下のとおり。
- CVE-2021-34710,CVE-2021-34735: Cisco ATA 190 Series Analog Telephone Adapter Software Vulnerabilities
- CVE-2021-34698: Cisco Web Security Appliance Proxy Service Denial of Service Vulnerability
- CVE-2021-34748: Cisco Intersight Virtual Appliance Command Injection Vulnerability
- CVE-2021-34775,CVE-2021-34776,CVE-2021-34777: Cisco Small Business 220 Series Smart Switches Link Layer Discovery Protocol Vulnerabilities
- CVE-2021-1594: Cisco Identity Services Engine Privilege Escalation Vulnerability
- CVE-2021-34788: Cisco AnyConnect Secure Mobility Client for Linux and Mac OS with VPN Posture (HostScan) Module Shared Library Hijacking Vulnerability
該当する製品やバージョン、悪用された場合の影響などは脆弱性によって異なるが、いずれも最新バージョンにアップデートすることで回避できる。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、上記のセキュリティアドバイザリを確認した上で必要なアップデートを適用することを推奨している。
