Cisco Patches High-Severity SQL Injection Vulnerability in Unified CM
2023/01/19 SecurityWeek — 2023年1月18日に Cisco は、Unified Communications Manager (CM) および Unified Communications Manager Session Management Edition (CM SME) に存在する、深刻な SQL インジェクションの脆弱性に対するパッチを発表した。エンタープライズ・コールおよびセッション管理プラットフォームとして設計されたCisco Unified CM/Unified CM SME は、Webex/Jabber などのアプリとの相互運用性を確保し、可用性と安全性を維持するものだ。
脆弱性 CVE-2023-20010 (CVS:8.1) は、このプラットフォームの Web ベースの管理インターフェイスにおける、不適切なユーザー入力の検証に起因する。この脆弱性の悪用に成功した、リモートの認証済の攻撃者に対して、脆弱なシステムにおける SQL インジェクション攻撃を許すことになる。
Cisco のアドバイザリには、「このアプリケーションにおいて、低特権ユーザーとして認証された攻撃者は、細工した SQL クエリーを送信することで、この脆弱性の悪用が可能にする。この脆弱性の悪用に成功した攻撃者は、基礎となるデータベース上の任意のデータの読取/変更や、権限昇格を可能にする」と記されている。
この脆弱性は、Cisco Unified CM/Unified CM SME のバージョン 11.5(1)/12.5(1)/14 に影響を及ぼすが、12.5(1)SU7 で対処されている。また、2023年3月に予定されているバージョン 14SU3 においてもパッチが含まれる予定である。
また、ESA (Email Security Appliance) の AsyncOS ソフトウェアに、深刻度 Medium の URL フィルタリング・バイパスの脆弱性が存在することも、顧客に通知されている。リモートの未認証の攻撃者が、細工した URL を用いることで、この脆弱性の悪用を可能にするとされる。
今週に Cisco は、Expressway シリーズと、TelePresence Video Communication Server (VCS) に存在する、3つの Medium 脆弱性に対してもパッチを提供している。
これらの製品の、API/Web ベースの管理インターフェイスに影響を及ぼす脆弱性はは、認証済のリモート攻撃者に対して、脆弱なデバイス上のファイルの書込みや、機密データへのアクセスを許す可能性がある。Expressway シリーズと、TelePresence VCS の 14.0.7 未満に影響が生じる。
Cisco によると、一連の脆弱性が、実際に悪用されていることは認識していないとのことだ。それぞれの脆弱性に関する詳細な情報は、Cisco の製品セキュリティ・ページで確認できる。
お隣のキュレーション・チームによると、Cisco のWeb ベースの管理インターフェイスでは、繰り返して脆弱性が発生しているとのことです。その一方で、SQL インジェクション (SQLi) の脆弱性ですが、以下のような頻度で、特筆すべきものが発生しているようです。
2023/01/13:WordPress プラグイン:SQLi による深刻な影響
2022/12/22:FIN7:Exchange を SQL インジェクションで自動攻撃
2022/07/22:SonicWall 警告:SQLi の深刻な脆弱性へのパッチ適用
2011/11/15:Zendesk Explore :GraphQL API で SQLi が発生
IoT OT Security News 
You must be logged in to post a comment.