Cisco IOS の脆弱性 CVE-2024-20276 が FIX:DOS 攻撃が生じる恐れ

Cisco IOS Vulnerability Allows DOS Attacks Via Malicious Traffic

2024/04/08 GBHackers — Cisco が公表したのは、Catalyst 6000 Series Switch  用の Cisco IOS ソフトウェアにおける、サービス拒否 (DoS:Denial-of-Service) の脆弱性 CVE-2024-20276 (CVSS:7.4) に対する修正である。


Cisco IOS (Internetwork Operating System) は、ルーターやスイッチなどのネットワーク機器である、Cisco のハードウェア上で動作する、独自のオペレーティング・システムのセットである。

Cisco IOS を構成するのは、インターフェース・コンフィグレーション/ネットワーク管理とモニタリング/ルーティング/セキュリティ/スイッチング/QoS (Quality of Service) などの、基本的な機能となっている。

脆弱性 CVE-2024-20276 の詳細

この脆弱性 CVE-2024-20276 は、Cisco Catalyst 6000 Series Switch 用の Cisco IOS に存在し、プロセス・スイッチされたトラフィックに対する不適切な処理に起因する。

この脆弱性を悪用する攻撃者は、悪意のトラフィックを脆弱なデバイスに誘導することで、侵害したデバイスを強制的にリロードさせ、サービス拒否 (DoS) の問題を引き起こす可能性がある。

Cisco はアドバイザリで、「攻撃者は、影響を受けるデバイスに細工したトラフィックを送信することで、この脆弱性を悪用する可能性がある。悪用に成功した攻撃者は、感染したデバイスをリロードさせ、サービス拒否 (DoS) 状態を引き起こす可能性がある」と述べている。

影響を受ける製品

以下の Cisco 製品において、脆弱なバージョンの Cisco IOS ソフトウェアが実行されており、ポート・セキュリティ/デバイス・クラシファイア/AAA (Authentication, Authorization, and Accounting) を有効化している場合に、この脆弱性の影響を受ける可能性がある。

  • Catalyst 6500 Series Switches with Supervisor Engine 2T/6T
  • Catalyst 6800 Series Switches with Supervisor Engine 2T/6T

それぞれのデバイスの設定は、下記のコマンドで調べられる。

  • ポート・セキュリティ:show running-config | include interface|port-security
  • デバイス・クラシファイア:show running-config | include device classifier
  • AAA (Authentication, Authorization, and Accounting):show running-config | include system-auth-control|interface|port-control|mab
影響を受けない製品

Cisco によると、以下の Cisco 製品/Cisco IOS プラットフォームは、この問題の影響を受けないとのことだ。

  • IOS XE Software
  • IOS XR Software
  • Meraki products
  • NX-OS Software
  • Catalyst 1000 Series Switches
  • Catalyst 2000 Series Switches
  • Catalyst 3000 Series Switches
  • Catalyst 4000 Series Switches
  • Catalyst 9000 Series Switches

今のところ、この脆弱性に対処するための回避策はない。ただし、この脆弱性がもたらすリスクを軽減するために、適切な修正済みバージョンへのアップグレードが推奨される。

Cisco は、サービス契約を結んでいる顧客に対して、これらのアップデートを無償で提供しており、通常のアップデート・チャネルからアクセスできる。

サービス契約を結んでいない顧客は、製品のシリアル番号と無償アップグレードの権利を証明するアドバイザリの URL を添えて、Cisco Technical Assistance Center (TAC) に連絡することで、アップグレードを入手できる。

Cisco の Catalyst 6000 Series Switch  用 IOS ソフトウェアに、サービス拒否の脆弱性 CVE-2024-20276 が発見されたとのことです。ご利用のチームは、ご注意ください。よろしければ、Cisco で検索も、ご参照ください。