Cisco BPA / WSA の深刻な脆弱性が FIX

Cisco fixes High Severity issue in BPA and WSA

202/07/09 SecurityAffairs — Cisco の Business Process Automation (BPA) および Web Security Appliance (WSA) における、深刻度の高い脆弱性に対するセキュリティ・パッチが公開された。このパッチは、Business Process Automation (BPA) に存在する2つの脆弱性 CVE-2021-1574 / CVE-2021-1576 を修正するものであり、認証された攻撃者によるリモートからの悪用と、管理者への不正な権限昇格に対応するものとなる。これらの問題は、Business Process Automation (BPA) の Web-based インターフェイスに存在し、CVSSスコアは 8.8 である。これらの脆弱性は、特定の機能や機密情報を含むログ・ファイルへのアクセスにおける、不適切な権限付与に起因している。

これらの脆弱性を悪用し、細工した HTTP メッセージを対象システムに送信することで、管理者権限で不正な操作および、正規の特権ユーザー成りすましが生じる可能性がある。悪用に成功すると、攻撃者は特権を Administrator に昇格できる。認証された攻撃者は、CVE-2021-1574 の欠陥を悪用した、不正なコマンド実行が可能となり、また、CVE-2021-1576 の欠陥を悪用した、脆弱なシステムのログ・サブシステム内の機密データ・アクセスが可能になる。Cisco は BPA Version 3.1 以降のリリースにおいて、これらの脆弱性を修正している。また、同社は、これらの脆弱性を緩和するための回避策はないとしている。

Cisco は、Web Security Appliance (WSA) の Cisco AsyncOS の構成管理に存在する脆弱性 CVE-2021-1359 も修正した。この脆弱性を悪用すると、認証されたリモート攻撃者が、コマンド・インジェクションを行い、root 権限を取得することが可能になる。この脆弱性は、Web インターフェースにおける XML 入力の検証が、不十分であることに起因している。攻撃者は、スクリプト・コードを埋め込んだ XML コンフィグレーション・ファイルを、脆弱なデバイスにアップロードすることで、この脆弱性を悪用できる。

この攻撃に成功すると、OS 上での任意のコマンドの実行および、root 権限の取得などが可能になる。ただし、この脆弱性を悪用するには、コンフィグレーション・ファイルをアップロードするための、権利を持ったユーザー・アカウントが必要となる。この脆弱性の CVSS スコア 6.3 であり、AsyncOS for WSA アプライアンスに影響を与える。このケースにおいても、回避策は存在しない。AsyncOS for WSA Version 12.0.3-005 / 12.5.2 は、この脆弱性に対応している。



これらの脆弱性は、7月8日付で Cisco Security Advisories で情報が公開されています。なお、Cisco Product Security Incident Response Team (PSIRT) は、上記の脆弱性を悪用した攻撃については確認していないとのことです。Cisco の製品群は、大半のエンタープライズのコアを形成しているだけに、とても神経を使います。アップデートを急いでください。

%d bloggers like this: