シスコは本日、複数の Small Business シリーズ スイッチに影響を与える公開エクスプロイト コードを含む 4 つの重大なリモート コード実行の脆弱性について顧客に警告しました。
4 つのセキュリティ上の欠陥はすべて、CVSS 基本スコア 9.8/10 でほぼ最大の重大度評価を受けました。悪用に成功すると、認証されていない攻撃者が侵害されたデバイス上で root 権限で任意のコードを実行することが可能になります。
CVE-2023-20159、CVE-2023-20160、CVE-2023-20161、および CVE-2023-20189 として追跡されるこの脆弱性は、対象となるスイッチの Web インターフェイスに送信されるリクエストの不適切な検証によって引き起こされます。
攻撃者は、ユーザーの操作を必要としない複雑さの低い攻撃で、標的のデバイスの Web ベースのユーザー インターフェイスを介して送信される悪意を持って作成されたリクエストを介してこれらを悪用する可能性があります。
シスコは「これらの脆弱性は互いに依存していない。いずれかの脆弱性を悪用しても、別の脆弱性を悪用する必要はない」と説明した。
「さらに、いずれかの脆弱性の影響を受けるソフトウェア リリースは、他の脆弱性の影響を受けない可能性があります。」
影響を受ける Cisco スイッチのリストには次が含まれます。
- 250 シリーズ スマート スイッチ、350 シリーズ マネージド スイッチ、350X シリーズ スタッカブル マネージド スイッチ、および 550X シリーズ スタッカブル マネージド スイッチ (ファームウェア バージョン 2.5.9.16 で修正)
- Business 250 シリーズ スマート スイッチおよび Business 350 シリーズ マネージド スイッチ (ファームウェア バージョン 3.3.0.16 で修正)
- Small Business 200 シリーズ スマート スイッチ、Small Business 300 シリーズ マネージド スイッチ、Small Business 500 シリーズ スタッカブル マネージド スイッチ (利用可能なパッチなし)
シスコは、 200、300 、および500シリーズ Small Business Switch のファームウェアにはパッチが適用されないと述べています。これらのデバイスはすでにサポート終了プロセスに入っているためです。
Cisco Product Security Incident Response Team(PSIRT)は、これらのセキュリティ上の欠陥に対して概念実証のエクスプロイト コードが利用可能であることも明らかにしました。これは、動機のある脅威アクターが独自のコードを作成した場合、積極的な悪用につながる可能性があります。
同社は水曜日、製品セキュリティインシデント対応チーム(PSIRT)がこれらのセキュリティ欠陥に対して「概念実証のエクスプロイトコードが利用可能であることを認識している」と警告し、これにより脅威アクターがリモートアクセスにさらされた脆弱なデバイスを標的にする可能性があると警告した。
ただし、幸いなことに、Cisco の PSIRT は、攻撃で脆弱性を悪用する試みを示唆する証拠をまだ発見していません。
米国、英国、およびシスコが最近発表した共同勧告は、APT28 ロシア軍ハッカーがカスタムの「Jaguar Tooth」マルウェアを Cisco IOS ルータに展開し、侵害されたデバイスへの認証されていないアクセスを取得していると警告しました。
Comments