Cisco fixes critical authentication bypass bug with public exploit
2021/09/02 BleepingComputer — Cisco は、Enterprise NFV Infrastructure Software (NFVIS) における認証バイパスの脆弱性 (CVSS 9.8) に対して、PoC エクスプロイト・コードを公開した。このセキュリティ上の欠陥 (CVE-2021-34746) は、Cisco の Enterprise NFV Infrastructure Software の TACACS+ AAA (Authentication / Authorization / Accounting) で発見された。このソリューションは、仮想ネットワーク機能 (VNF : Virtual Network Functions) の管理を容易にするために設計されている。
脆弱性 CVE-2021-34746 は、サインイン時に認証スクリプトに渡されるユーザー入力検証が不完全なことに起因し、認証されていないリモートの攻撃者が、パッチを適用していないデバイスに対して、管理者としてログインできるものだ。水曜日に Cisco はセキュリティ・アドバイザリにおいて、「攻撃者は、認証リクエストにパラメータを注入することで、この脆弱性を悪用することができる。攻撃者は、認証をバイパスして、影響を受けるデバイスに対して管理者としてログインできる」と説明している。
すべてのエンタープライズ NFVIS デバイスに脆弱性があるわけではない
Enterprise NFVIS のデプロイメントが、この脆弱性の影響を受けるのは、対象となるデバイスで TACACS (Terminal Access Controller Access-Control System) の外部認証方法が有効になっている場合のみとなる。CVE-2021-34746 のエクスプロイトに対して、対象となるデバイスにおける脆弱性の有無を確認するには、TACACS の外部認証機能の ON/OFF 確認する必要がある。コマンドラインから show running-config tacacs-server コマンドを実行すると、TACACS が無効なら no entries found と表示される。また、GUI を使うなら Configuration > Host > Security > User and Roles を選択し、External Authentication で機能 ON/OFF を確認できる。
Cisco は、この脆弱性で露呈した攻撃ベクターを、取り除くための回避策はないと述べているが、Cisco Enterprise NFVIS Ver 4.6.1 以降で問題を修正している。同社の Product Security Incident Response Team (PSIRT) は、PoC エクスプロイト・コードが利用可能だと述べているが、ワイルドな悪用については認識していないと述べている。なお、Cisco は、7月に公開された Adaptive Security Device Manager (ADSM) ランチャーに存在する、リモートコード実行 (RCE) ゼロデイ脆弱性について、現在もパッチを作成中であることを明らかにしている。
この、脆弱性 CVE-2021-34746 は、リモートからの攻撃が有りで、CVSS 9.8、CWE-289 (代替名による認証のバイパス) となっていました。Cisco は Patch Wednesday ですが不定期なので、木曜の朝に早起きしても空振りのときがあると、お隣のキュレーション・チームの人が言っていました。このところ、Cisco 関連の情報が続いています。よろしければ「Cisco 検索」を、ど〜ぞ。
IoT OT Security News 