CVE-2024-20536: Cisco NDFC Vulnerability Grants Attackers Extensive Control
2024/11/07 SecurityOnline — 先日に Cisco が公表したのは、Nexus Dashboard Fabric Controller (NDFC) の特定のバージョンに影響を与える、深刻度が高い SQL インジェクション脆弱性 CVE-2024-20536 (CVSS 8.8) に関するセキュリティ勧告である。この脆弱性の悪用に成功した認証済みのリモート攻撃者は、影響を受けるデバイス上で任意の SQL コマンドの実行を達成し、ネットワーク・セキュリティに深刻なリスクをもたらす可能性を手にする。
この脆弱性は、Cisco NDFC の REST API エンドポイント/Web ベースの管理インターフェイスに存在する。Cisco のアドバイザリには、「この脆弱性は、ユーザー入力に対する検証が不十分であることに起因し、読み取り専用アクセス権を持つ攻撃者による、SQL コマンドの操作が可能になる。この脆弱性を悪用に成功した攻撃者は、内部データベース上の任意のデータに対する、Read/Modify/Delete を達成してデバイスの可用性に影響を与え、より広範なセキュリティ上の影響が引き起こす可能性を得る」と記されている。
その一方で、この脆弱性は深刻であると、Cisco は指摘しているが、SAN コントローラの展開用にコンフィグされたシステムには影響しないと述べている。この指摘は、自社の脆弱性を評価する際に、管理者が考慮すべき重要なポイントとなる。
脆弱性 CVE-2024-20536 を悪用する攻撃者は、影響を受けるデバイスの REST API エンドポイントまたは管理インターフェイスにアクセスする必要がある。攻撃者は細工したリクエストを送信することで、入力検証をバイパスし、悪意の SQL コマンドを実行できる。このような不正アクセスにより、データ整合性やネットワーク機能に影響が及び、広範囲にわたる深刻な結果が引き起こされる可能性が生じる。
この脆弱性は、Cisco NDFC リリース 12.1.2/12.1.3 のみに影響する。現時点において、回避策は提供されていない。したがって、影響を受ける組織は、デバイスのセキュリティを確保するために、Cisco の最新ソフトウェア・アップデートに依存することになる。
Cisco は、この脆弱性を特定して公表した、REQON B.V. の研究者である Harm Blankers/Jasper Westerman/Yanick de Pater に謝意を表している。
管理者にとって必要なことは、ただちにネットワークを評価することであり、Cisco NDFC の修正版が実行されていることの確認である。データ操作やサービス中断の可能性を考慮すると、迅速な対応が不可欠である。それにより、この SQL インジェクションの脆弱性を悪用する攻撃者の、標的となることを避ける必要がある。
Cisco NDFC に SQL インジェクションに脆弱性とのことです。ご利用のチームは、ご注意ください。なお、直近の Cisco NDFC の脆弱性は、2024/10/02 の「Cisco NDFC の深刻な脆弱性 CVE-2024-20432 (CVSS 9.9) が FIX:ただちにパッチを!」となっています。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.