2025/04/04 SecurityOnline — Cisco が公表したのは、同社の Enterprise Chat and Email (ECE) 製品と Meraki MX/Z Series デバイスに存在する、脆弱性に対処するセキュリティ・アドバイザリのリリースである。これらの脆弱性により、サービス拒否 (DoS) 攻撃が発生する可能性があるという。
CVE-2025-20139
Cisco Enterprise Chat and Email の脆弱性
Cisco Enterprise Chat and Email (ECE) のチャット・メッセージング機能に存在する脆弱性により、未認証のリモート攻撃者に対してサービス拒否 (DoS) 状態を引き起こす機会を与えてしまう。この脆弱性は、チャット・エントリ・ポイントへのユーザー入力に対する、不適切な検証に起因する。影響を受けるアプリケーションの、メッセージング・チャット・エントリ・ポイントに、悪意のリクエストを送信する攻撃者は、この脆弱性を悪用し、アプリケーションからのレスポンスを停止させる機会を得る。
Cisco のアドバイザリには、「アプリケーションが自動的に回復しない可能性があり、管理者が手動でサービスを再起動する必要が生じる場合もある」と記されている。
影響を受ける製品と緩和策
この脆弱性は、Cisco ECE の機能が有効化され、エントリ・ポイントが設定されている場合に発生する。アドバイザリには、「Cisco ECE の、デフォルト・コンフィグでは影響は生じない」と明記されている。
すでに Cisco は、ソフトウェア・アップデートをリリースし、この脆弱性に対処している。ユーザーに対して強く推奨されるのは、システム・コンソールに接続してチャットとメッセージングのエントリ・ポイントへと移動し、チャット・エントリ・ポイント設定の ON/OFF を確認することだ。
CVE-2025-20212
Cisco Meraki MX/Z Series デバイスの脆弱性
Cisco Meraki MX/Z Series デバイスの Cisco AnyConnect VPN サーバに存在する、脆弱性の悪用に成功した認証済みの攻撃者は、影響を受けるデバイスの Cisco AnyConnect サービスにおいて、サービス拒否 (DoS) 状態を引き起こす機会を手にする。
Cisco のアドバイザリには、「この脆弱性を悪用する攻撃者は、影響を受けるデバイスで有効な、VPN ユーザー資格情報を持っている必要がある」と記されている。
この脆弱性は、SSL VPN セッションが確立されたとき、初期化が行われない変数により発生する。SSL VPN セッションを確立する際に、細工した属性を提供する攻撃者は、この脆弱性の悪用に成功し、Cisco AnyConnect VPN サーバを再起動させる機会を得る。
この悪用が成功すると、確立された SSL VPN セッションが失敗し、リモート・ユーザーは新しい VPN 接続を開始し、再認証を余儀なくされる可能性がある。アドバイザリには、「継続的な攻撃により、新しい SSL VPN 接続の確立が困難になる可能性がある」と記されている。
Cisco のアドバイザリは、「攻撃トラフィックが停止すると、Cisco AnyConnect VPN サーバは手動による介入を必要とせずに回復する」とも述べている。
影響を受ける製品と緩和策
この脆弱性は、Cisco AnyConnect VPN が有効化されている、脆弱なファームウェアを実行する Cisco Meraki MX/Z Series デバイスに影響を及ぼす。
Cisco AnyConnect VPN の有効化/無効化を判断する管理者は、ダッシュボードにログインしてクライアント VPN 設定を確認してほしい。
すでに Cisco は、ソフトウェア・アップデートをリリースし、この脆弱性に対処している。ユーザーに推奨されるのは、それぞれのファームウェア・バージョンの修正リリースについて、アドバイザリを参照することだ。
Cisco の ECE/Meraki の DoS 脆弱性が FIX しました。攻撃手法が日々進化する中、攻撃者の侵入経路を予測するのは困難です。ゼロトラストの重要性が論点になっていますが、あらゆるエッジに対して「信頼しない」ことを前提とする時代へと、すでに入ってしまっているのでしょう。ご利用のチームは、アップデートを、ご検討ください。よろしければ、Cisco + VPN で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.