Cisco Patches High-Severity Vulnerabilities in Networking Software
2022/09/30 SecurityWeek — Ciscoは 今週、深刻度の高い 10件のセキュリティ脆弱性を含む、12件の脆弱性に対処する iOS/iOS XE ソフトウェアのアップデートを発表した。これらの脆弱性は、Cisco が3月と9月に半期ごとにリリースしている、ネットワーク・ソフトウェアのパッチの一部として対処された。新たに対処された問題の中で最も深刻なのは CVSS 値 8.6 で、サービス拒否 (DoS) 状態を引き起こす可能性のある6つの脆弱性だ。
これらの脆弱性は、特定のパッケージの不適切な処理や入力の検証不足/リソースの不適切な管理/ロジックのエラーなどに起因する。
これらの脆弱性の悪用する攻撃者が送信するものは、不正な CIP パケット/細工した DNS パケット/影響を受ける MPLS 対応インターフェースからの不正なパケット/不正な UDP データグラム/細工した CAPWAP Mobility パケット/不正な DHCP メッセージなどとなる。
Cisco によると、これらの脆弱性は、Catalyst 9100 access points (AP) および、Catalyst 9800 wireless controller、Catalyst 3650/3850/9000 switches、ASR 1000 embedded services processors、Catalyst 8500 edge platform などの、複数の製品シリーズに影響を及ぼすとのことだ。
残りの4つの深刻度の高い脆弱性のうちの2つは、攻撃者が細工した SSH リクエストや IPv6 パケットを送信することで DoS 状態を引き起こす可能性があるものだ。
1つ目は、iOS/iOS XEの SSH 実装に影響し、2つ目は、iOS XE で 6VPE と ZBFW (Zone-Based Firewall) の両方が有効な場合に、MPLS上でのIPv6 VPN (6VPE) の実装に影響する。
残る2つの脆弱性は、ブート時における認証なしでの任意のコード実行や、root 権限に昇格した上での OSコマンドの実行などに至るおそれがある。
今週に Cisco は、SD-WAN における2つの権限昇格の脆弱性/Wireless LAN Controller (WLC) AireOS ソフトウェアおよび Catalyst 9100 AP における2つの DoS 問題などの、いくつかの深刻度の高いセキュリティ脆弱性に対するパッチも発表している。
同社は、これらの脆弱性に対応したソフトウェア・アップデートをリリースしており、これらの脆弱性が攻撃に悪用されたことは把握していないとしている。
また、iOS などの Cisco 製品に影響する、合計8件の中程度の重大な脆弱性も対処された。リリースされたパッチに関する追加情報は、同社のセキュリティ・ポータルで確認できる。
最近の Cisco の脆弱性としては、8月10日の「Cisco ASA/FTD デバイスの RSA シークレット・キー窃取の脆弱性が FIX」および、8月25日の「Cisco Business Switches の深刻な脆弱性 CVE-2022-20823 などが FIX」、9月12日の「Cisco SD-WAN vManage の深刻な脆弱性 CVE-2022-20696 が FIX」などがあります。また、Cisco 自身もハッキングされていますが、それらに関しては Cisco + Yanluowang で検索を、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.