Cisco は本日、同社の Prime Collaboration Deployment (PCD) ソフトウェアに、クロスサイト スクリプティング攻撃に利用できるゼロデイ脆弱性があることを明らかにしました。
このサーバー管理ユーティリティを使用すると、管理者は組織のインベントリ内のサーバーで移行またはアップグレード タスクを実行できます。
CVE-2023-20060 として追跡されたこのバグは、NATO Cyber Security Center (NCSC) の Pierre Vivegnis によって、Cisco PCD 14 以前の Web ベースの管理インターフェイスで発見されました。
悪用に成功すると、認証されていない攻撃者がクロスサイト スクリプティング攻撃をリモートで開始できるようになりますが、ユーザーの操作が必要になります。
「この脆弱性は、Web ベースの管理インターフェイスがユーザー入力を適切に検証しないために存在します。攻撃者は、インターフェイスのユーザーに巧妙に細工されたリンクをクリックするよう誘導することで、この脆弱性を悪用する可能性があります」と Cisco は説明しています。
「エクスプロイトに成功すると、攻撃者は影響を受けるインターフェイスのコンテキストで任意のスクリプト コードを実行したり、ブラウザベースの機密情報にアクセスしたりできる可能性があります。」
シスコはこの脆弱性の影響に関する情報を共有しましたが、同社は来月中にこの脆弱性に対処するためのセキュリティ アップデートをリリースする予定です。今のところ、攻撃ベクトルを取り除くための回避策はありません。
幸いなことに、Cisco Product Security Incident Response Team (PSIRT) は、実際に悪用された証拠をまだ発見しておらず、このバグを標的とする公開されたエクスプロイト コードを認識していません。
Cisco Prime Collaboration 導入リリース | 最初の固定リリース |
---|---|
14以前 | 14SU3(2023年5月) |
12月に公開されたゼロデイはまだパッチ待ち
シスコはまた、2023 年 12 月初旬に公開されたエクスプロイト コードを使用して、重大度の高い別の IP Phone ゼロデイ(CVE-2022-20968) にパッチを適用する必要があります。
Cisco の PSIRT は当時、「概念実証のエクスプロイト コードが利用可能であることを認識しており」、「脆弱性については公に議論されている」と警告していました。
同社はセキュリティ アップデートを 2023 年 1 月にリリースすると約束しましたが、バグは最初の開示から数か月後もパッチが適用されていません。
CVE-2022-20968 の影響を受けるデバイスには、7800 および 8800 シリーズ ファームウェアバージョン 14.2 以前を実行している Cisco IP 電話が含まれます。
シスコはこの IP Phone のゼロデイに対する回避策を提供していませんが、一時的な緩和策を適用するよう管理者にアドバイスしています。これには、フォールバック オプションとして Link Layer Discovery Protocol (LLDP) をサポートする影響を受けるデバイスで Cisco Discovery Protocol を無効にする必要があります。
「これは些細な変更ではなく、企業に代わって、デバイスへの潜在的な影響と、この変更を企業に導入するための最善のアプローチを評価するための努力が必要です」と、同社は当時警告していました.
Comments