米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は3月3日、「Cisco Releases Security Updates for Multiple Products」において、シスコシステムズが複数の製品について脆弱性を修正するセキュリティアップデートをリリースしたと伝えた。
これらの脆弱性を放置すると、悪意を持った第三者によって任意のファイルの書き込み、任意のコード実行、権限の昇格、サービス拒否(DoS)などを実行される危険性がある。
セキュリティアップデートに関する情報は、次のセキュリティアドバイザリページにまとめられている。
-
2022年3月2日・3日にリリースされたシスコ製品のセキュリティアドバイザリ
今回のアップデートで修正された脆弱性は次に挙げる6件で、 影響度の内訳はCritical(緊急)のものが1件、high(高)のものが2件、Medium(中程度)のものが2件となっている。
- CVE-2022-20756: Cisco Ultra Cloud Core - Subscriber Microservices Infrastructure Privilege Escalation Vulnerability (High)
- CVE-2022-20754,CVE-2022-20755: Cisco Expressway Series and Cisco TelePresence Video Communication Server Vulnerabilities (Critical)
- CVE-2022-20762: Cisco Ultra Cloud Core - Subscriber Microservices Infrastructure Privilege Escalation Vulnerability (High)
- CVE-2022-20665: Cisco StarOS Command Injection Vulnerability (Medium)
- CVE-2022-20625: Cisco FXOS and NX-OS Software Cisco Discovery Protocol Service Denial of Service Vulnerability (Medium)
上記のうち、CVE-2022-20754およびCVE-2022-20755の脆弱性は影響度が緊急に指定されており特に注意が必要。この脆弱性を悪用されると、リモートの攻撃者によってroot権限でOSのファイルを上書きされたり、root権限で任意のコードを実行されたりする危険性があるという。
-
Cisco Expressway Series and Cisco TelePresence Video Communication Server Vulnerabilities
