Cisco Wireless LAN Controller の深刻な脆弱性 CVE-2022-20695 が FIX

Cisco Patches Critical Vulnerability in Wireless LAN Controller

2022/04/14 SecurityWeek — この水曜日に Cisco は、同社の Wireless LAN Controller (WLC) ソフトウェアのアップデートを公開し、攻撃者に認証回避を許してしまう、深刻な脆弱性に対処したと発表した。この脆弱性 CVE-2022-20695 (CVSS:10) は、パスワード検証アルゴリズムが適切に実装されていないという欠陥に起因するものだ。それにより攻撃者は、細工した認証情報を用いて認証を回避し、脆弱なデバイスに管理者としてログインすることが可能になる。

この問題は、WLC ソフトウェア・リリース 8.10.151.0/8.10.162.0 に特定され、macfilter radius compatibility が Other としてコンフィギュレーションされている場合の 3504/5520/8540 Wireless Controller および、Mobility Express、Virtual Wireless Controller (vWLC) デバイスに影響する。 なお、この脆弱性に対する回避策が存在しないため、影響を受ける顧客には、WLC ソフトウェア・リリース 8.10.171.0 以降への更新が推奨されている。

また、今週には、Cisco SD-WAN および Cisco IOS ソフトウェアに影響を与える、10数件の深刻な脆弱性に対してパッチが発表されている。これらのバグの悪用に成功した攻撃者は、脆弱なデバイス上で特権を昇格させ、また、サービス拒否 (DoS) 状態を引き起こすことが可能となる。

Cisco は、一連の脆弱性に対してソフトウェア・アップデートをリリースし、回避策は存在しないとしている。また、これらのセキュリティ上の欠陥の、実際での悪用は検知していないとも述べている。

なお、Spring4Shell に関しては、Cisco も自社ポートフォリオ全体で、脆弱性 CVE-2022-22965 に対応しようと躍起になっている。水曜日に同社は、この欠陥に関するアドバイザリを更新し、調査中の製品リストと影響を受ける製品リストを更新した。現時点で Cisco は、Spring4Shell の最初のパッチを、来週には展開することを目標としている。しかし、一部の製品については、修正プログラムは夏まで提供されない予定でもある。

最近の Cisco に関する記事としては、2月17日の「Cisco ESA の脆弱性 CVE-2022-20653 が FIX:細工されたメールで DoS 状態」や、2月24日の「Cisco の Nexus Series Switches に影響をおよぼす Network OS の脆弱性が FIX」、3月3日の「Cisco の Expressway Series/TelePresence VCS の深刻な脆弱性が FIX」などがあります。よろしければ、Cisco で検索も、ご利用ください。

%d bloggers like this: