Cisco Says PoC Exploit Available for Newly Patched IMC Vulnerability
2024/04/18 SecurityWeek — 4月17日に Cisco は、Integrated Management Controller (IMC) の脆弱性 CVE-2024-20295 (CVSS:8.8) に対するパッチと、PoC (Proof-of-concept) エクスプロイト・コードを公開した。この脆弱性は、 IMC の Command Line Interface (CLI) に影響を与えるものであり、Read Only 以上の権限を持つローカル攻撃者が、基盤となる OS 上で任意のコマンドを注入し、ルート権限を取得する事態につながるという。
Cisco はアドバイザリで、「この脆弱性は、ユーザから提供された入力の検証が不十分であることに起因する。攻撃者は、細工した CLI コマンドを送信することで、この脆弱性を悪用できる。悪用に成功した攻撃者は、権限を root に昇格させることが可能になる」と説明している。
この脆弱性は、以下を含む製品に影響をおよぼす:
- Cisco 5000 series Enterprise Network Compute Systems (ENCS)
- Catalyst 8300 series Edge uCPE
- UCS C-Series rack servers (standalone mode)
- UCS E Series server
さらに、IMC CLI へのアクセスを公開する、UCS C Series server の設定済みバージョンをベースにした、以下のアプリケーションも影響を受ける:
- Secure Email Gateways
- Secure Email and Web Manager
- Prime Infrastructure アプライアンス
- Secure Web アプライアンス
- その他の様々な Cisco セキュリティ・アプライアンス
Cisco によると、CVE-2024-20295 を悪用する PoC コードは公開されているが、現時点において、この脆弱性の悪用は確認されていないとのことだ。
さらに同社は、IMC に存在する別の脆弱性 CVE-2024-20356 (深刻度:High) に対するパッチもリリースした。この脆弱性の悪用に成功した攻撃者は、リモートで管理者アカウントでログインした後にコマンドを注入し、root 権限を取得する可能性がある。
この脆弱性の影響を受ける製品は下記の通りだ:
- 5000 series ENCS
- Catalyst 8300 series Edge uCPE
- UCS C-Series M5/M6/M7 rack servers (standalone mode)
- UCS E-Series servers
- UCS S-Series storage servers (standalone mode)
- IMC UI へのアクセスを公開する Cisco UCS C-Series servers の事前設定バージョンに基づくアプライアンス
同日に Cisco は、IOS/IOS XE ソフトウェアに存在する、脆弱性 CVE-2024-20373 (深刻度:Medium) も修正している。この脆弱性が悪用されると、リモートの未認証の攻撃者が、影響を受けるデバイスの SNMP ポーリングを実行する可能性がある。
Cisco によると、CVE-2024-20356/CVE-2024-20373 について、悪用は確認されていないという。
パッチがリリースされた Cisco の脆弱性は、攻撃者たちによる悪用が多発すると知られている。したがって、ユーザーに推奨されるのは、可能な限り早急に、Cisco アプライアンスをアップデートすることだ。
修正された脆弱性に関する追加情報は、 Cisco のセキュリティ・アドバイザリで確認できる。
昨日となる 2024/04/17 にも、「Cisco の SNMP に脆弱性 CVE-2024-20295 に PoC:ただちにパッチ適用を!」 という記事をアップしています。いろいろと見比べてみましたが、まったく同じソースからの記事だったようです。 たまに起こってしまう重複であり、ガックリくる出来ごとです。よろしければ、Cisco で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.