Cisco Issues High-Severity Security Alert for IOS XR Software (CVE-2025-20138)
2025/03/12 SecurityOnline — Cisco が発表したのは、IOS XR ソフトウェアに影響を及ぼす、深刻度の高い脆弱性を詳述するセキュリティ・アドバイザリである。その脆弱性 CVE-2025-20138 (CVSS:8.8) により、 重大なリスクが生じると記されている。
この脆弱性は、Cisco IOS XR ソフトウェアの CLI (Command Line Interface) に存在する。同社のアドバイザリによると、この脆弱性の悪用に成功した認証済のローカル攻撃者は、影響を受けるデバイスの基盤となる OS のルートとしての、任意のコマンド実行の可能性を手にするという。
この脆弱性の根本的な原因は、特定の CLI コマンドに渡されるユーザー引数に対する、不十分な検証にある。この不適切な検証により、低権限のアカウントを持つ攻撃者に対して、権限昇格が許されてしまう。CLI プロンプトにおいて、特別に細工されたコマンドでエクスプロイトを成功させた攻撃者には、ルート・アクセスが付与され、影響を受けるシステムの完全な制御が許されることになる。
この脆弱性は、Cisco IOS XR 64 ビット・ソフトウェアの、すべてのデバイス・コンフィグに影響を及ぼす。それぞれの Cisco ソフトウェア・リリースにおける、この脆弱性の有無を判断する際には、アドバイザリの “Fixed Software” セクションの参照が推奨される。
なお、Cisco は、以下の製品においては、この脆弱性の影響が生じないことを確認している:
- IOS Software
- IOS XE Software
- IOS XR 32-bit Software
- NX-OS Software
重要なことは、この脆弱性を軽減するための回避策は存在しないと、Cisco が述べている点だ。したがって、唯一の解決策は、Cisco が提供するソフトウェア・アップデートの適用となる。
すでに Cisco は、ソフトウェア・アップデートをリリースし、この深刻な脆弱性に対処している。ユーザーに対して強く推奨されるのは、可能な限り早急に、修正済みのソフトウェア・リリースへとアップグレードすることだ。
影響を受けるリリースと、対応する修正の概要は、以下のとおりである:
- Cisco IOS XR Software Release 24.1 以下:修正済みリリースへ移行
- Cisco IOS XR Software Release 24.2:24.2.21 へ移行 (future release)
- Cisco IOS XR Software Release 24.3:修正済みリリースへ移行
- Cisco IOS XR Software Release 24.4:影響なし
このアドバイザリがリリースされた時点において、Cisco PSIRT は、脆弱性に関する情報公開や、悪意の使用を認識していないという。ただし、この脆弱性の潜在的な影響は深刻であるため、迅速なパッチ適用が不可欠である。
Cisco のユーザーは、セキュリティ・アドバイザリ全体を確認し、システムを保護するために直ちに行動を起こすべきである。
Cisco IOS XR 64-bit Software の脆弱性が FIX しました。この脆弱性は、影響を受けるシステムの完全な制御に至る可能性があるものですが、現時点において回避策が存在しないとのことです。ご利用のチームは、アップデートを忘れないよう、お気をつけください。よろしければ、Cisco で検索も、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.