シスコ、IOS XEソフトウェアの重要度の高い脆弱性を修正:Catalyst 9800などに影響:CVE-2021-34770

シスコは、ルータや無線コントローラを駆動するインターネットワーキングオペレーティングシステムIOS XEのコンポーネントや特定の設定で動作する製品に影響する3つの重要な脆弱性を修正したと発表しました。

この脆弱性は、エンタープライズクラスのCatalyst 9800-CL Wireless Controller for Cloudを含むCisco Catalyst 9000 Family Wireless Controllerに影響します。

この問題は、シスコの2021年9月のアップデートの一部であり、修正プログラムの全リストには31のバグが数えられ、そのうち十数個が高重要度スコア以上の評価を受けています。

深刻度が最も高いのはCVE-2021-34770で、認証されていない攻撃者がroot権限で任意のコードをリモートから実行することができる脆弱性であると、シスコは伝えています。

https://nvd.nist.gov/vuln/detail/CVE-2021-34770

この問題は、Cisco IOS XE Software for Cisco Catalyst 9000 Family Wireless Controllers の Control and Provisioning of Wireless Access Points (CAPWAP) プロトコル処理にあり、CVE-2021-34770の影響を受けるのは以下の通りです。

  • Catalyst 9300、9400、9500 シリーズ スイッチ用の Catalyst 9800 組み込みワイヤレス コントローラー
  • Catalyst 9800 シリーズ ワイヤレス コントローラ
  • クラウド用の Catalyst 9800-CL ワイヤレス コントローラー
  • Catalystアクセスポイントの組み込み型ワイヤレスコントローラー

もうひとつの重要度の高い脆弱性は、スコアが低い(9.8/10)ものの、CVE-2021-34727として特定されているもので、この脆弱性はCisco IOS XE SD-WAN Software の vDaemon プロセスに存在し、境界チェックが不十分であることが原因であると Cisco は指摘しています。

https://nvd.nist.gov/vuln/detail/CVE-2021-34727

攻撃者は、脆弱なターゲットデバイスに変更されたトラフィックを送信することで、認証なしにリモートでこの問題を利用できます。悪用に成功すると、最高権限で任意のコマンドを実行したり、少なくともサービス拒否(DoS)状態を引き起こしたりする可能性があります。

次の製品は、古いバージョンの Cisco IOS XE SD-WAN ソフトウェアを実行しており、SD-WAN 機能がアクティブ(デフォルトでは無効)である場合、脆弱性があります。

  • 1000 シリーズ インテグレーテッド サービス ルーター (ISR)
  • 4000 シリーズ ISR
  • ASR 1000シリーズ アグリゲーション サービス ルーター
  • クラウドサービスルーター1000Vシリーズ

シスコが今回修正した重要なバグの最後は、Cisco IOS XE ソフトウェアの認証、承認、アカウンティング(AAA)機能におけるセキュリティ上の問題である CVE-2021-1619 です。

遠隔地の認証されていない攻撃者がこれを利用して、”影響を受けたデバイスの設定をインストール、操作、または削除する “ことが可能です。最小のリスクは、DoS状態を作り出すことです。

この脆弱性は、初期化されていない変数が原因で、攻撃者は一連のNETCONFまたはRESTCONFリクエストを影響を受けるデバイスに送信することで、この脆弱性を悪用することができます。攻撃者がNETCONFまたはRESTCONFを使用して、ネットワークデバイスの構成をインストール、操作、または削除したり、デバイス上のメモリを破壊したりすることで、DoSが発生する可能性があります。

この問題は、Cisco IOS XEが自律モードまたはコントローラモードで設定されている機器、Cisco IOS XE SD-WANに影響します。いずれの場合も、以下の項目がすべて設定されていることが脆弱性を持つ製品の条件となります。

CVE-2021-1619に関するCiscoのアドバイザリには、機器が脆弱性を持つような設定になっているかどうかを確認するためのコマンドが記載されています。最新のアップデートをすぐにインストールできない場合は、回避策や緩和策が存在します。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-aaa-Yx47ZT8Q

現時点では、上記の重要な脆弱性が実世界で悪用されたという公開情報はありません。

回避策

この脆弱性に対処するための回避策があります。enable password を削除し、enable secret を設定してください。

また、この脆弱性に対処する緩和策として、この脆弱性の攻撃対象を制限するにはNETCONFおよびRESTCONFにアクセス制御リスト(ACL)を設定して、信頼できないサブネットからのアクセスを防止します。

この回避策と緩和策は、テスト環境に導入され、成功したことが証明されていますが、お客様は、ご自身の環境や使用条件での適用性や有効性を判断する必要があります。お客様は、回避策や緩和策を実施した場合、お客様固有の導入シナリオや制限に基づいて、お客様のネットワークの機能や性能に悪影響を及ぼす可能性があることを認識する必要があります。お客様は、ご自身の環境への適用可能性とその環境への影響を評価する前に、回避策や緩和策を導入すべきではありません。

Leave a Reply

Your email address will not be published.