Cisco Patches High-Severity Vulnerabilities in Enterprise Applications
2023/08/17 SecurityWeek — 8月16日〜17日に Cisco は、特権の昇格/SQL インジェクション/パストラバーサル/サービス拒否 (DoS) などにつながる深刻度の高い脆弱性を修正した。このうち最も深刻なものは、Cisco Unified Communications Manager (Unified CM) と、Unified Communications Manager Session Management Edition (Unified CM SME) などの、Web 管理インターフェースに影響するものだ。
CVE-2023-20211 (CVSS:8.1) として追跡されているこの脆弱性は、ユーザーから提供された入力の検証が不適切であることに起因し、リモートで認証された攻撃者に SQL インジェクション攻撃を許す可能性があると説明されている。
Cisco は、「攻撃者は、読み取り専用またはそれ以上の権限を持つユーザーとしてアプリケーションを認証し、影響を受けるシステムに細工した HTTP リクエストを送信することで、この脆弱性を悪用することができる。悪用に成功した攻撃者は、基礎となるデータベースのデータの窃取/改ざんや、権限昇格などが可能になる」と説明している。
この脆弱性は Unified CM/Unified CM SME の 12.5(1)SU8 で修正されており、バージョン 14 用のパッチファイルもリリースされている。ただし、この脆弱性は PoC エクスプロイト・コードがリリースされたと、Cisco は警告している。
また、Cisco は 8月16日に、ThousandEyes Enterprise Agent の Virtual Appliance installation type に存在する権限昇格の脆弱性 CVE-2023-20224 へのパッチもリリースしている。
この脆弱性は、ユーザーが入力した入力の不十分な検証に起因し、攻撃者が細工したコマンドを使用して、影響を受けるデバイスで認証を得る可能性がある。悪用に成功した攻撃者は、root 権限でのコマンド実行が可能になる。
Cisco は、攻撃者がこの脆弱性を悪用するには、有効な認証情報を持っている必要があると指摘している。この脆弱性は、ThousandEyes Enterprise Agent 0.230 で修正された。この件について Cisco 言及していないが、脆弱性を発見した研究者である KoreLogic は、今週に技術的な詳細を公表している。
また、CVE-2023-20229 として追跡されている Cisco Duo Device Health Application の脆弱性も修正された。不十分な入力検証によるもので、攻撃者にディレクトリ・トラバーサル攻撃や任意のファイルの上書きを許す可能性がある。この脆弱性は、バージョン 5.2.0 で対処された。
また、Secure Endpoint Connectors for Linux/macOS/Windows と Secure Endpoint Private Cloud に含まれる、無料のマルウェア対策ツールキット ClamAV に存在する2つの DoS 脆弱性にもパッチがリリースされた。
そのうちの1つである CVE-2023-20197 は、ClamAV の Hierarchical File System Plus (HFS+) 用のファイルシステム・イメージパーサーで確認されたものであり、PoC コードが公開されていると Cisco は警告している。
ただし Cisco は、これらの脆弱性が攻撃で悪用されていることは認識していないとしている。しかし、Cisco アプライアンスにおける既知の脆弱性の悪用頻度は高いため、ユーザーに対しては可能な早急なアップデートが推奨される。
対処された脆弱性に関する追加情報は、Cisco の製品セキュリティ・ページに掲載されている。
PoC エクスプロイトが出ている脆弱性もあるので、早めのパッチ適用をご検討ください。最近では、2023/06/22 の「Cisco AnyConnect/Secure Client の脆弱性 CVE-2023-20178:PoC エクスプロイトが登場」でも、PoC が警告されていました。よろしければ、Cisco + PoC で検索も、ご利用ください。
You must be logged in to post a comment.