Cisco SD-WAN vManage の深刻な脆弱性 CVE-2022-20696 が FIX

Cisco Patches High-Severity Vulnerability in SD-WAN vManage

2022/09/12 SecurityWeek — Cisco は、SD-WAN vManage ソフトウェア・コンテナのバインディング・コンフィグレーションに存在する、深刻な脆弱性に対するパッチを発表した。脆弱性 CVE-2022-20696 は、メッセージング・サーバ・コンテナ・ポートの不十分な保護メカニズムに起因し、認証されていない攻撃者によるポートの悪用と、システムへの接続を許すものだ。

Cisco はアドバイザリで、「この脆弱性を悪用する攻撃者は、VPN0 論理ネットワーク内のインターフェースに、ネットワーク・トラフィックを送信する要がある。この脆弱性の悪用に成功した攻撃者は、メッセージング・サービスの閲覧や、メッセージの注入などが可能となり、コンフィグレーションの変更やシステムのリロードを引き起こす可能性がある」と指摘している。


この脆弱性は、IOS XE SD-WAN/SD-WAN vBond Orchestrator/SD-WAN vSmart Controller ソフトウェアおよび、SD-WAN vEdge クラウド・ルーター、そして SD-WAN vEdge ルーターに影響を及ぼす。

Cisco は、この脆弱性に対するパッチを含む、SD-WAN vManage ソフトウェアのリリース 20.6.4/20.9.1 へのアップデートを推奨している。

また、8月に解決された NVIDIA Data Plane 開発キットの脆弱性 CVE-2022-28199 の影響を受ける製品もあると発表している。影響を受ける製品は、Cloud Services ルーター 1000V シリーズおよび、IOS/IOS XE (Catalyst 8000V Edge 以外)、IOS XR ソフトウェア、NX-OS ソフトウェアなどである。

Cisco によると、この問題は、Catalyst 8000V Edge ソフトウェアおよび、Adaptive Security Virtual Appliance (ASAv)、Secure Firewall Threat Defense Virtual (旧FTDv) へのアップデートにより解決されたとのことだ。

また、今週に Cisco は、Small Business RV110W/RV130/RV130W/RV215W ルーターに影響を及ぼす Medium 脆弱性について、対象製品が EoL となったことで、パッチを適用しないと警告している。

脆弱性 CVE-2022-20923 は、これらのデバイスのパスワード検証アルゴリズムの不適切な実装に起因し、認証されていない攻撃者が細工した認証情報を用いて。認証バイパスする可能性がある。

Cisco は、「このアドバイザリに記載された脆弱性に対処する、ソフトウェア・アップデートはリリースせず、また、今後もリリースしない予定が。Cisco Small Business RV110W/RV130/RV130W/RV215W ルーターは、製造終了プロセスに入った」と指摘している。

Cisco は、これらのセキュリティ欠陥が、攻撃に悪用されていることは認識していないとしている。ただし、NVIDIA の脆弱性を狙った PoC エクスプロイは存在している。解決された脆弱性の詳細については、Cisco のセキュリティ・ポータルで確認できる。

Cisco の脆弱性情報ですが、前回は 8月25日の「Cisco Business Switches の深刻な脆弱性 CVE-2022-20823 などが FIX」だったと思います。その後書きに記したように、8月の Cisco は忙しかったようです。また、文中にもあるように、Small Business RV110W/RV130/RV130W/RV215W は EoL で、サポートの対象外になるとのことです。

%d bloggers like this: