米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は11月4日(米国時間)、「Cisco Releases Security Updates for Multiple Products|CISA」において、シスコシステムズが複数の製品について脆弱性を修正するセキュリティアップデートをリリースしたと伝えた。
これらの脆弱性を放置すると、悪意を持った第三者によって影響を受けたシステムに対し、管理者権限の奪取や任意のコマンド実行、管理インタフェースへのアクセス、サービス運用妨害(DoS)といった攻撃を受ける可能性がある。
セキュリティアップデートに関する情報は、次のセキュリティアドバイザリページにまとめられている。
今回のアップデートで修正された脆弱性は合計16件で、 影響度の内訳はCritical(緊急)のものが2件、high(高)のものが2件、Medium(中程度)のものが12件となっている。このうち、影響度Criticalのものは以下のとおり。
- CVE-2021-40119: Cisco Policy Suite Static SSH Keys Vulnerability
- CVE-2021-34795,CVE-2021-40112,CVE-2021-40113: Cisco Catalyst PON Series Switches Optical Network Terminal Vulnerabilities
前者はCisco Policy SuiteにおけるキーベースのSSH認証メカニズムに発見された脆弱性で、認証されていないリモートの攻撃者が、影響を受けるシステムに対してrootユーザーとしてログインできる可能性があるという。後者はCisco Catalyst PONシリーズの光ネットワーク端末に搭載されているWebベースの管理インタフェースに発見された複数の脆弱性で、認証されていないリモートの攻撃者によってコマンドインジェクションや構成の変更、Telnetプロトコルが有効になっている場合にはデフォルトの認証情報によるログインなどが行われる可能性があるとされている。
影響度がMediumの脆弱性は次の2件である。
- CVE-2021-34739: Cisco Small Business Series Switches Session Credentials Replay Vulnerability
- CVE-2021-34741: Cisco Email Security Appliance Denial of Service Vulnerability
該当する製品やバージョン、悪用された場合の影響などは脆弱性によって異なるが、いずれも最新バージョンにアップデートすることで回避できる。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、上記のセキュリティアドバイザリを確認した上で必要なアップデートを適用することを推奨している。