Cisco Patches High-Severity Vulnerability Reported by NSA
2024/08/21 SecurityWeek — Cisco が公開したのは、6件の脆弱性に関するセキュリティ・アドバイザリである。その中でも、最も深刻度の高い脆弱性 CVE-2024-20375 (CVSS:8.6) は、Cisco Unified Communications Manager (Unified CM)/Cisco Unified Communications Manager Session Management Edition (Unified CM SME) の SIP コール処理機能に影響し、認証を必要としないリモートからの悪用の可能性を生じる。
この、SIP メッセージの不適切な解析の脆弱性を悪用する攻撃者が、細工したパケットを対象製品に送信し、デバイスをリロードさせることで、サービス拒否 (DoS:denial-of-service) 状態が引き起こされる可能性が生じる。
Cisco によると、米国 NSA (National Security Agency) から報告された、この脆弱性に関しては回避策が提供され、また、Unified CM/Unified CM SME のバージョン 12.5(1)SU9/14SU4/15SU1 にはパッチが含まれているという。同社は、このセキュリティ欠陥が悪用されていることは認識していないとしている。
さらに同社は、regreSSHion として知られる OpenSSH の脆弱性 CVE-2024-6387 に関するアドバイザリも更新した。同アドバイザリに新たに追加されたのは、脆弱性が見つかった Cisco 製品に対する修正の完了および予定に関する情報だ。
さらに Cisco は、Unified CM/Unified CM SME における Medium レベルのバグについて、4件のアドバイザリを公開した。
Cisco Identity Services Engine (ISE)
- CVE-2024-20417 (CVSS 6.5):REST API コールを介した、ブラインド SQL インジェクションの脆弱性。
- CVE-2024-20466 (CVSS 6.5):情報漏えいの脆弱性。
- CVE-2024-20486 (CVSS 6.5):CSRF (cross-site request forgery) の脆弱性。
Cisco Unified CM/Unified CM SME
- CVE-2024-20488 (CVSS 6.5):Web ベースの管理インターフェイスに影響する、XSS (cross-site scripting) の脆弱性。この脆弱性の悪用に成功した攻撃者は、インターフェイスのコンテキスト内で、任意のスクリプトを実行する可能性を手にする。
同社によると、これらの脆弱性が悪用された事実はないという。追加情報は、Cisco のセキュリティ・アドバイザリで確認できる。
Cisco Unified CM における複数の脆弱性が FIX しました。ご利用のチームは、ご注意ください。なお、前回の Unified CM に関するトピックは、2023/08/17 の「Cisco Unified CM の深刻な脆弱性 CVE-2023-20211 などが FIX:直ちにパッチ適用を!」となっています。よろしければ、Cisco で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.