CVE-2024-20432 (CVSS 9.9): Cisco Nexus Dashboard Fabric Controller Exposed to RCE
2024/10/02 SecurityOnline — Cisco が発表したのは、Nexus Dashboard Fabric Controller (NDFC) に存在する深刻な脆弱性 CVE-2024-20432 (CVSS:9.9) に対するセキュリティ・アドバイザリである。この脆弱性の悪用に成功した、認証された低権限のリモート攻撃者は、標的デバイス上においてネットワーク管理者権限を用いて、任意のコマンドを実行する可能性を手にする。
この脆弱性は、Cisco NDFC の REST API と Web UI に存在するものであり、不適切なユーザー認証と、不十分なコマンド引数の検証に起因する。有効な資格情報を持つ攻撃者は、影響を受ける REST API エンドポイントまたは Web UI を通じて、細工されたコマンドを送信することで、この脆弱性を悪用することが可能になる。
この脆弱性の悪用に成功した、攻撃者は Cisco NDFC 管理対象デバイスの CLI を介して任意のコマンドを実行しネットワーク・ファブリック全体を危険にさらす可能性を得る。
CVE-2024-20432 の脆弱性は、以下の製品に影響を及ぼす:
- Cisco Nexus Dashboard Fabric Controller (NDFC)
- Cisco Nexus Dashboard リリース 3.1(1k) 以降:Cisco NDFC は統合リリースで配布されている。
注記:この脆弱性は、SAN コントローラの導入用にコンフィグ構成されている Cisco NDFC には影響しない。
すでに Cisco は、ソフトウェア・アップデートをリリースし、この深刻な脆弱性に対処している。現時点において、回避策は存在しないため、管理者にとって必要なことは、速やかなアップデートとなる。
| Cisco NDFC Release | First Fixed Release |
|---|---|
| 11.5 and earlier | Not vulnerable |
| 12.0 | 12.2.2 |
このアドバイザリのリリース時点において、Cisco PSIRT は、この脆弱性の悪用に関する公開情報を認識していない。ただし、この欠陥の重大性は考慮されるべきものであり、パッチ適用までの間に攻撃が始まる可能性が残っている。
Nexus NDFC に存在する、深刻な脆弱性 CVE-2024-20432 (CVSS:9.9) が FIX しました。ご利用のチームは、パッチ適用を ご検討ください。直近の Cisco の脆弱性は、2024/09/23 の「Cisco Smart Licensing Utility の脆弱性 CVE-2024-20439 (CVSS 9.8) が FIX:直ちにアップデートを!」となっています。よろしければ、Cisco で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.