シスコシステムズはこのほど、複数のセキュリティアドバイザリを発行した。脆弱性に関する情報は次のページからたどることができる。
シスコからは短期間に多くのセキュリティアドバイザリが発行される傾向が続いている。この1週間で発行または更新された脆弱性の情報は次のとおり。
- 【緊急】 2023年10月04日 CVE-2023-20101 Cisco Emergency Responder Static Credentials Vulnerability
- 【緊急】 2023年09月29日 CVE-2023-20034,CVE-2023-20252,CVE-2023-20253,CVE-2023-20254,CVE-2023-20262 Cisco Catalyst SD-WAN Manager Vulnerabilities
- [重要] 2023年10月04日 CVE-2021-1572 ConfD CLI Secure Shell Server Privilege Escalation Vulnerability
- [重要] 2023年10月04日 CVE-2023-20259 Multiple Cisco Unified Communications Products Unauthenticated API High CPU Utilization Denial of Service Vulnerability
- [重要] 2023年10月04日 CVE-2021-1572 Cisco Network Services Orchestrator CLI Secure Shell Server Privilege Escalation Vulnerability
- 警告 2023年09月29日 CVE-2023-20269 Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Remote Access VPN Unauthorized Access Vulnerability
- 警告 2023年10月04日 CVE-2023-20235 Cisco IOx Application Hosting Environment Privilege Escalation Vulnerability
特に「CVE-2023-20101」として特定されているCisco Emergency Responderの脆弱性には注意が必要。開発時に使われる管理者アカウントの認証情報がハードコーディングされており、このアカウントデータを悪用することで、影響を受けるデバイスにログインすることが可能とされている。管理者ユーザーとして任意のコードが実行可能になることから、注意が必要。脆弱性の深刻度は共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)のスコア値で9.8の緊急(Critical)に分類されている。
この1週間で発行または更新されたセキュリティアドバイザリは7個で、このうち2個は深刻度が緊急(Critical)、3個は深刻度が重要(High)に分類されており注意が必要。すでに公開されているセキュリティアドバイザリがアップデートされたり、同じ製品であっても短い間隔で別のセキュリティアドバイザリが発行されたりすることがある。シスコ製品を使っている場合、脆弱性のリストを漏れなくチェックすることが望まれる。