Cisco は、ローカル攻撃者が root に特権を昇格させる可能性のある、公開されたエクスプロイトコードを持つ高難易度の Integrated Management Controller (IMC) の脆弱性に対するパッチをリリースした。
Cisco IMC は、UCS C-Series Rack および UCS S-Series Storage サーバーを、XML API、Web (WebUI)、およびコマンドライン (CLI) インターフェースを含む複数のインターフェイスを介して管理するためのベースボード管理コントローラーです。
「Cisco統合管理コントローラ(IMC)のCLIに脆弱性があり、認証されたローカルの攻撃者が、基礎となるオペレーティングシステム上でコマンドインジェクション攻撃を実行し、権限をrootに昇格させる可能性がある」と同社は説明している。
「この脆弱性を悪用するには、攻撃者が影響を受けるデバイス上で読み取り専用以上の権限を持っている必要があります。
CVE-2024-20295として追跡されているこのセキュリティ上の欠陥は、ユーザーから提供された入力の検証が不十分であることに起因しており、複雑度の低い攻撃の一部として、細工されたCLIコマンドを使用して悪用される可能性があります。
この脆弱性は、デフォルト設定で脆弱な IMC バージョンを実行している以下の Cisco デバイスに影響します:
- 5000 シリーズ エンタープライズネットワークコンピュートシステム (ENCS)
- Catalyst 8300 シリーズ エッジ uCPE
- スタンドアロンモードのUCS Cシリーズラックサーバー
- UCS Eシリーズサーバー
しかし、脆弱性のある Cisco IMC CLI へのアクセスを提供するように設定されている場合、他の製品の長いリストも攻撃にさらされます。
シスコのプロダクト・セキュリティ・インシデント・レスポンス・チーム(PSIRT)も本日のアドバイザリで、概念実証済みのエクスプロイトコードがすでに利用可能であることを警告しているが、幸いなことに、脅威行為者はまだこの脆弱性を標的とした攻撃を開始していない。
10月、同社は2つのゼロデイに対するセキュリティ・パッチをリリースしたが、このパッチは1週間以内に5万台以上のIOS XEデバイスに侵入するために使用された。
攻撃者は昨年も2つ目のIOSとIOS XEのゼロデイを悪用し、リモート・コード実行によって脆弱なデバイスを乗っ取ることを可能にしていた。
さらに最近では、CiscoSecure Firewallデバイスに設定されたリモートアクセスVPN(RAVPN)サービスに対するパスワード・スプレー攻撃を緩和するよう顧客に促した後、Cisco、CheckPoint、Fortinet、SonicWall、Ubiquitiデバイス上のVPNおよびSSHサービスを標的とした大規模かつ継続的なクレデンシャル・ブルート・フォース・キャンペーンについて警告しています。
Comments