Cisco の Expressway Series/TelePresence VCS の深刻な脆弱性が FIX

Cisco fixed two critical flaws in Expressway, TelePresence VCS solutions

2022/03/03 SecurityAffairs — Cisco の Unified Communications 製品である、Expressway Series および TelePresence Video Communication Server (VCS) における、深刻な脆弱性 CVE-2022-20754/CVE-2022-20755 (CVSS 9.0) 対する、セキュリティ・パッチが発表された。

Cisco のアドバイザリには、「Cisco Expressway Series および Cisco TelePresence Video Communication Server (VCS) の、API および Web_based Management インターフェイスに複数の脆弱性が存在する。対象アプリケーション上で Read/Wtite 権限を持つ認証済みのリモート攻撃者であれば、影響を受けるデバイスのオペレーティング・システム上でファイルの書き込みや、root ユーザーとしての任意のコード実行が可能になる」と記されている。

脆弱性 CVE-2022-20754 は、Cisco Expressway Series および Cisco TelePresence VCS における任意のファイル書き込みの脆弱性であり、悪用に成功した攻撃者はディレクトリ・トラバーサル攻撃を行い、基盤となるオペレーティング・システム上でファイルの上書きが可能となる。この欠陥は、ユーザーが提供するコマンド引数の、入力検証が不十分なために発生する。

脆弱性 CVE-2022-20755 は、Cisco Expressway Series と Cisco TelePresence VCS に存在するコマンド・インジェクションの脆弱性であり、Web_based Management インターフェースに存在する。対象アプリケーション上で Read/Wtite 権限を持つ認証済みのリモート攻撃者であれば、影響を受けるデバイスのオペレーティング・システム上で、root ユーザーとしての任意のコード実行が可能になる。

最近の Cisco に関しては、2月3日の「Cisco Small Business RV ルーターに深刻な脆弱性:パッチの提供を確認してアップデートを」、2月17日の「Cisco ESA の脆弱性 CVE-2022-20653 が FIX:細工されたメールで DoS 状態」、2月24日の「Cisco の Nexus Series Switches に影響をおよぼす Network OS の脆弱性が FIX」などがあります。よろしければ、ご参照ください。

%d bloggers like this: