Cisco Patches 27 Vulnerabilities in Network Security Products
2023/11/02 SecurityWeek — 11月1日 (水) に Cisco は、Adaptive Security Appliance (ASA)/Firepower Management Center (FMC)/Firepower Threat Defense (FTD) に存在する、合計で 27 件の脆弱性に対処するソフトウェア・アップデートを発表した。半期ごとに発行される Bundle of Security Advisories として、同社の3種類のネットワーク・セキュリティ製品において、合計で 22件のセキュリティ勧告を発表し、それらを Critical/High/Medium に分類している。
これらの問題の中で最も深刻なものは、FMC のコマンド・インジェクションの脆弱性 CVE-2023-20048 (CVSS:9.9) であり、Web サービス・インターフェースを介して送信される設定コマンドの、認証が不十分であることに起因するとしている。
細工した HTTP リクエストを介して、この脆弱性を悪用した認証済の攻撃者は、標的となる FTD デバイス上でコンフィグレーション・コマンドを実行する可能性があると、同社は説明している。
Cisco が発表した7件のアドバイザリには、ASA/FMC/FTD ソフトウェアにおける、8件の深刻な脆弱性が記載されている。それらのバグのうち、5件はサービス拒否 (DoS) 状態につながり、3件はコマンド・インジェクションを可能にするものだ。
なお DoS バグが影響を及ぼすものには、ICMPv6 処理/リモートアクセス VPN/内部パケット処理/Snort 2 検出機能による ICMPv6 監査/ロギングAPI などがある。
また、Cisco ASA/FMC/FTD で対処された 18件の Medium レベルの脆弱性には、DoS 状態/任意のファイル・ダウンロード/SAML アサーション・ハイジャック/クロスサイトスクリプティング (XSS)/ポリシーバイパス/検出エンジンバイパス/証明書認証バイパス/ジオロケーション・フィルタリング・バイパスなどがある。
Medium レベルで目立っているのは脆弱性 CVE-2022-20713 であり、ASA/FTD の VPN Web クライアント・サービス・コンポーネントに存在する、リモートの認証されていないクライアント・サイドの、リクエスト・スマグリングの脆弱性である。
この問題は、2022年8月10日から指摘されたが、Cisco によるパッチ提供は、1年以上を要している。そして、PoC エクスプロイト・コードも公開されているが、攻撃では悪用されていないようだ。
なお、Cisco は、最新の ASA/FMC/FTD アップデートで対処された脆弱性について、それらを標的とする野放し状態の攻撃は認識していないと述べている。
Cisco が半期ごとに発表する Bundle of Security Advisories ですが、前回は 2022/04/28 の「Cisco が半期セキュリティ・アドバイザリを発表:ASA/FTD/FMC の 11件の脆弱性に対応」でした。いまの Cisco は CVE-2023-20198/CVE-2023-20273 への対応で大変な状況だと思いますが、頑張って欲しいです。よろしければ、Cisco で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.