Ciscoはセキュリティアドバイザリの更新を行い、2021年7月に公開されたAdaptive Security Device Manager(ADSM)ランチャーのリモートコード実行(RCE)の脆弱性は、まだセキュリティアップデートが行われていないゼロデイバグであることを明らかにしました。
Cisco ADSMは、Cisco Adaptive Security Appliance(ASA)のファイアウォールとAnyConnect Secure Mobilityクライアントを管理するためのWebインターフェースを提供するファイアウォール・アプライアンス・マネージャーとなっており、「公開時点で、シスコはCisco ASDMのこの脆弱性を修正することを計画していました。」と同社は述べています。
Cisco は「この脆弱性に対処するソフトウェアアップデートを公開していません。この脆弱性に対処する回避策もありません。」と付け加えています。
また、前回のアップデートでは影響を受けるADSMソフトウェアのバージョンを、当初のアドバイザリに記載されていた「9.16.1およびそれ以前」としていましたが、今回の報告では「7.16(1.150)およびそれ以前が対象」と修正しています。
RCEのバグはMiTM攻撃で悪用可能
CVE-2021-1585として追跡されているこのゼロデイバグは、ASDMとLauncherの間で交換されるコードの署名検証が不適切であることが原因です。
このバグが悪用されると、認証されていない攻撃者が、ASDM Launcher に割り当てられた権限で、ターゲットのオペレーティングシステム上で任意のコードをリモートで実行することが可能になります。
攻撃者は、ネットワークの中間者攻撃を利用して、LauncherとASDMの間のトラフィックを傍受し、任意のコードを注入することで、この脆弱性を悪用することができます
この攻撃を開始するためには、ユーザーを騙してLauncherからASDMへの通信を開始させるソーシャルエンジニアリング攻撃を行う必要があります。
また、製品セキュリティ・インシデント・レスポンス・チーム(PSIRT)では、このゼロデイに対する概念実証のエクスプロイトや、このゼロデイを悪用する脅威の存在をまだ認識していません。
関連するニュースとして、3ヶ月前にシスコは、Cisco AnyConnect Secure Mobility Client VPNソフトウェアに存在する6ヶ月前のゼロデイ脆弱性(CVE-2020-3556)を、一般に公開されているプルーフ・オブ・コンセプトのエクスプロイトコードで修正しました。
Cisco PSIRTは、バグが公開された時点で概念実証のエクスプロイトコードが公開されていたとしながらも、実世界での悪用の証拠はなかったとも付け加えています。
シスコは、根本的な弱点に対処するセキュリティアップデートを行わずに、2020年11月にゼロデイを公開しましたが、攻撃対象を減少させるための緩和策を提供しました。
5月にCVE-2020-3556に対処する前は、積極的な悪用は報告されていませんでした。これは、デフォルトのVPN設定が攻撃に対して脆弱であり、このバグは認証されたローカルの攻撃者によってのみ悪用される可能性があったためと思われます。
しかし、先月、Positive Technologies社のOffensive TeamがPoCエクスプロイトを公開した直後に、攻撃者はCisco ASAのバグに即座に飛びつき、攻撃を開始したという歴史もあります。
Comments