Cisco discloses XSS zero-day flaw in server management tool
2023/04/26 BleepingComputer — 4月26日に Cisco は、Prime Collaboration Deployment (PCD) ソフトウェアに存在する、クロス・サイト・スクリプティング (XSS) のゼロデイ脆弱性と、攻撃の可能性について公表した。このサーバ管理ユーティリティは、組織のインベントリにあるサーバの移行やアップグレードのタスクを、管理者による実施を可能にするものだ。そして、脆弱性 CVE-2023-20060 は、Cisco PCD 14 以前の Web ベースの管理インターフェイスに存在するものであり、NATO Cyber Security Centre (NCSC) の Pierre Vivegnis により発見された。
この脆弱性の悪用に成功すると、リモートの未認証の攻撃者による、クロス・サイト・スクリプティング攻撃が可能になるが、ユーザーの操作も必要となる。
Cisco は、「この脆弱性は、Web ベースの管理インターフェイスにおいて、ユーザーによる入力が適切に検証しないことに起因する。つまり、Web ベースの管理インターフェイスのユーザーを攻撃者が説得し、細工されたリンクをクリックさせることで、この脆弱性の悪用が可能になる。そして、この攻撃チェーンを成功させた攻撃者は、影響を受けるインターフェイスのコンテキストを介した任意のスクリプト・コードの実行や、ブラウザ・ベースの機密情報へのアクセスが可能になる」とは説明している。
Cisco は、この脆弱性の影響について情報を共有したが、対応するセキュリティ・アップデートは、来月のリリース予定とのことだ。また、現時点において、この攻撃経路を除去するための回避策は存在しない。
幸いなことに、Cisco Product Security Incident Response Team (PSIRT) は、この脆弱性の悪用のる証拠を見つけておらず、また、このバグを標的とした PoC エクスプロイト・コードの公開も行われていない。
12月に公開されたゼロデイだが未だにパッチ待ちの状態
2022年12月初旬に公開された、IP Phone のゼロデイ脆弱性 CVE-2022-20968 については、エクスプロイト・コードが公開されているため、Cisco によるパッチ適用が必要だとされている。
その当時に Cisco の PSIRT は、「PoC エクスプロイト・コードが利用可能であることを認識している。この脆弱性は公に議論されている」と警告していた。
そして同社は、2023年1月にセキュリティ・アップデートをリリースすると約束したが、4月が終わろうとしている現時点においても、この脆弱性にはパッチが適用されていない。
脆弱性 CVE-2022-20968 の影響を受けるデバイスは、Cisco IP 電話の 7800/8800 シリーズで、ファームウェア・バージョン 14.2 以前を実行しているデバイスである。
Cisco は、この IP Phone のゼロデイに対する回避策を提供していないが、管理者に対して一時的な緩和策を適用するよう助言している。この緩和策では、Link Layer Discovery Protocol (LLDP) をフォールバック・オプションとしてサポートしているデバイスで、Cisco Discovery Protocol を無効化する必要がある。
Cisco は、「これは些細な変更ではなく、企業の利益を最優先に考え、デバイスへの潜在的な影響を評価する必要がある。この変更を企業に展開するためには、最良のアプローチが必要になる」と警告していた。
Cisco の、パッチ未適用の脆弱性の話です。Prime Collaboration Deployment (PCD) の CVE-2023-20060 と、IP Phone の CVE-2022-20968 が、それに該当するようです。Cisco の脆弱性について、お隣のキュレーション・チームに聞いてみたところ、日本時間の木曜の朝に、毎週ではなくても、月イチではないという感じで、割とまとまって情報が出てくるようです。また、やたらと製品の種類が多いのも、Cisco の特徴とのことでした。
IoT OT Security News 
You must be logged in to post a comment.