Critical Cisco bug exposes Expressway gateways to CSRF attacks
2024/02/07 BleepingComputer — Cisco Expressway シリーズ・コラボレーション・ゲートウェイに影響を及ぼす、複数の脆弱性に対してパッチが適用された。そのうちの2つは、深刻度が Critical と評価されるものであり、脆弱なデバイスがクロス・サイト・リクエスト・フォージェリ (CSRF) 攻撃にさらされる可能性がある。
この CSRF の脆弱性を悪用した攻撃者は、認証済みユーザーを騙すことで、悪意のリンクをクリックさせ、また、攻撃者が管理する悪意の Web ページにアクセスさせる。それにより、新しいユーザー・アカウントの追加/任意のコード実行/管理者権限の獲得不正取得などの、悪意のアクションを実行させる。
今日にパッチが適用された、深刻な CSRF 脆弱性 CVE-2024-20252/CVE-2024-20254 の悪用に成功した未認証の攻撃者は、Expressway ゲートウェイをリモートで攻撃することが可能になる。
Cisco は、「攻撃者は、API のユーザーを欺いて細工されたリンクを踏ませることで、これらの脆弱性を悪用できる。悪用に成功した攻撃者は、影響を受けるユーザーの特権レベルを介して、任意のアクションを実行する可能性を持つ。影響を受けるユーザーが、管理者権限を持っている場合には、これらの悪意のアクションに含まれるものとして、システムの設定の変更や、新しい特権アカウントの作成などが挙げられる」と述べている。
CVE-2024-20255として追跡されている3つ目の CSRF セキュリティ・バグも、脆弱なシステムの設定を変更し、サービス拒否状態を引き起こすために悪用される可能性がある。
なお、脆弱性 CVE-2024-20252 は、CDB (cluster database) API 機能が、ON に設定されているゲートウェイを攻撃する際に悪用が可能でああるが、脆弱性 CVE-2024-20254/CVE-2024-20255 は、デフォルト設定の Cisco Expressway シリーズ・デバイスに影響を及ぼす。
| Cisco Expressway Series Release | First Fixed Release |
|---|---|
| Earlier than 14.0 | Migrate to a fixed release. |
| 14.0 | 14.3.4 |
| 15.0 | Not vulnerable. |
同社によると、Cisco TelePresence Video Communication Server (VCS) ゲートウェイは、2023年12月31日にサポート終了日を迎えていることから、今回の3件の脆弱性に対応するセキュリティ・アップデートはリリースされないという。
Cisco のPSIRT チームは、これらの脆弱性を標的とした PoC エクスプロイトや悪用の試みについて、形跡を発見していないと述べている。
2024年1月にも Cisco は、未認証のリモート攻撃者によりルート権限を取得される可能性のある、Unity Connection の深刻なバグにパッチを適用し、Unified Communications Manager (CM) および Contact Center Solutions に、深刻度の高いモートコード実行の欠陥があることを警告した。
2023年10月にも Cisco は、1週間以内に5万台以上の IOS XE デバイスを危険にさらした、2件のゼロデイ脆弱性に対するセキュリティ。パッチをリリースしている。
ハッカーたちは昨年、IOS/IOS XE のゼロデイ脆弱性を悪用することで、任意のコード実行/脆弱なシステムの完全な制御/サービス拒否 (DoS) などを引き起こしていた。
Cisco Expressway は、Collaboration Gateways for Unified Communications だと説明されています。ここに、CSRF の脆弱性 CVE-2024-20252/CVE-2024-20254が発生ということは、かなり怖い状況なので、ご利用のチームは、パッチをお急ぎください。よろしければ、Cisco で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.