2022/10/21 HelpNetSecurity — Cisco は、Cisco Identity Services Engine (ISE) の管理者に対して、同プロダクトに存在する2つの脆弱性 CVE-2022-20822/CVE-2022-20959 への注意喚起を発表した。これらの悪用に成功した驚異アクターは、影響を受けるデバイス上のファイルの読み取りや削除/任意のスクリプトの実行/機密情報へのアクセスなどが可能になる。
Cisco は、「Cisco PSIRT は、本アドバイザリに記載されている脆弱性に対する PoC エクスプロイトコードが、ソフトウェアの修正版のリリース後に利用可能になると認識している。また、本アドバイザリの公開後、本脆弱性の説明や技術的な詳細を伴わない分類を含む、公開レポートが利用可能になる予定だ」と述べている。
これらの2つの脆弱性は、フリーランスのバグハンターであり、マネージド・セキュリティサービス・プロバイダーの Yoroi のレッドチーム・オペレーターである Davide Virruso により発見/報告された。
それぞれの脆弱性について:CVE-2022-20822/CVE-2022-20959
Cisco Identity Services は、ネットワーク上のデバイスのポリシー管理/アクセス制御のためのプラットフォームであり、組織のゼロトラスト・アーキテクチャの重要な要素となっている。
Yoroi アドバイザリ・チームは、「ISE は、IT/OT 環境におけるソフトウェア定義アクセスを保証し、ネットワークのセグメント化を自動化するだけでなく、ネットワークの状態を可視化する手段を提供する」と述べている。
1つ目の脆弱性 CVE-2022-20822 は、Cisco ISE の外部 RESTful サービス (ERS) API に存在し、XSS を引き起こす可能性がある。
Cisco は、「攻撃者は、特定の文字列を含む細工をした HTTP リクエストを、影響を受けるシステムに送信することで、この脆弱性を悪用できる。悪用に成功した攻撃者は、設定された管理者レベルではアクセスできないはずの、デバイス上の特定ファイルの読み取り/削除が可能になる」と述べている。
2つ目の脆弱性 CVE-2022-20959 は、Cisco ISE の外部 RESTful サービス (ERS) API に存在し、これも XSS につながる可能性がある。
同脆弱性のアドバイザリには、「攻撃者は、Web ベースの管理インターフェイスの認証済み管理者に対して、悪意のあるリンクをクリックするように誘導することで、この脆弱性の悪用が可能になる。悪用に成功した攻撃者は、影響を受けるインターフェイスのコンテキストで、任意のスクリプトコード実行/ブラウザベースの機密情報へのアクセスが可能になる」と記されている。
これらの2つの脆弱性に対する回避策はない。また現時点では、CVE-2022-20959 に対する修正プログラム (特定の ISE バージョンとパッチレベル用) があるが、他の修正プログラムも今後の数ヶ月の間に、一部は 2023年1月にリリースされる予定とのことだ。
しかし、要求に応じて利用できるホットパッチがあり、Cisco Technical Assistance Center (TAC)に問い合わせがあった場合には、関係者に提供されている。同社のインシデント対応担当者は、これらの脆弱性が悪用された事例を把握していないとのことだ。
パッチは提供されず、悪用の事例は発見されずという状況の、脆弱性 CVE-2022-20822/CVE-2022-20959 とのことです。要求に応じてホットパッチの利用も可能なので、Cisco TAC に問い合せることも可能とのことです。最近の Cisco に関する脆弱性ですが、9月12日の「Cisco SD-WAN vManage の深刻な脆弱性 CVE-2022-20696 が FIX」や、9月30日の「Cisco iOS/iOS XE における 12件の脆弱性が FIX:DoS 状態に陥る問題」などがあります。よろしければ、Cisco で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.