米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は10月21日(米国時間)、「Cisco Releases Security Update for Cisco Identity Services Engine |CISA」において、シスコシステムズが提供しているCisco Identity Services Engineに複数の脆弱性が存在すると伝えた。
これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性がある。脆弱性に関する情報は次のページからたどることができる。
-
Security Advisories
シスコからは、短期間に比較的多くのセキュリティアドバイザリが発行される傾向が続いている。この1週間で発行または更新された脆弱性は次のとおり。
- [重要] 2022年10月19日 CVE-2022-20822 Cisco Identity Services Engine Unauthorized File Access Vulnerability
- [重要] 2022年10月19日 CVE-2022-20933 Cisco Meraki MX and Z3 Teleworker Gateway VPN Denial of Service Vulnerability
- 警告 2022年10月19日 CVE-2022-20959 Cisco Identity Services Engine Cross-Site Scripting Vulnerability
- 警告 2022年10月19日 CVE-2022-20917 Cisco Jabber Client Software Extensible Messaging and Presence Protocol Stanza Smuggling Vulnerability
- 警告 2022年10月19日 CVE-2022-20776,CVE-2022-20811,CVE-2022-20953,CVE-2022-20954,CVE-2022-20955 Cisco TelePresence Collaboration Endpoint and RoomOS Software Vulnerabilities
この1週間で発行または更新されたセキュリティアドバイザリは5個で、このうち2つは深刻度が重要(High)に分類されており注意が必要。すでに公開されているセキュリテアドバイザリがアップデートされたり、同じ製品であっても短い間隔で別のセキュリティアドバイザリが発行されたりすることがある。シスコの製品を使っている場合、掲載されているリストを日付などで整理しながら漏れなくチェックすることが望まれる。
