米シスコシステムズは10月16日(米国時間)、「Multiple Vulnerabilities in Cisco IOS XE Software Web UI Feature」において、同社のネットワークOS「Cisco IOS XE Software」のWeb UIに深刻度が緊急(Critical)と分析された脆弱性が存在すると発表した。共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)のスコア値は10.0で最大の値がつけられている。この脆弱性を悪用したサイバー攻撃が既に確認されている(参考「シスコ製品にCVSS 10.0の緊急脆弱性、確認と対応を | TECH+(テックプラス)」)。

該当する製品を使っている場合は迅速に公開されたセキュリティアドバイザリの内容を確認するとともに、すぐに対応を実施することが望まれている。しかしながら、この問題は2023年10月16日(米国時間)に公開された情報だけでは終わらなかった。

同社は10月20日(米国時間)、「Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerabilities」の内容をアップデートし、「CVE-2023-20273」として特定した新しい脆弱性が存在することを発見したと発表した。

  • Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerabilities

    Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerabilities

本稿執筆時点で、この脆弱性に対する修正は公開されていない。同社は10月22日を目処に前回の修正対象である「CVE-2023-20198」と今回の「CVE-2023-20273」の双方に対する修正を公開するとしている。同社は「Multiple Vulnerabilities in Cisco IOS XE Software Web UI Feature」の内容も更新し、CVE-2023-20273に関する情報を追記している。CVE-2023-20273の共通脆弱性評価システム(CVSS)スコア値は7.2で重要(High)と位置づけられている。

この件に関して、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)も「CISA Releases Guidance for Addressing Cisco IOS XE Web UI Vulnerabilities | CISA」において警告を行うなど対応を呼びかけている。該当する製品を使用している場合には再度これら情報を確認するとともに、必要に応じて対策を実施することが望まれる。