Cisco製OSやVoIP製品などに脆弱性「CDPwn」が判明 - 数千万台に影響か

さらに「NX-OS」「IOS XR」「FXOS」においてリリースが枯渇し、異常終了する「CVE-2020-3120」が明らかとなった。CVSSv3のスコアは「7.4」で、同じく「高（High）」とレーティングされている。

これら5件の脆弱性を発見し、Cisco Systemsへ報告したArmisは、今回明らかになった脆弱性を「CDPwn」と名付け、レポートを公開した。

CDPは工場出荷時にデフォルトで有効化されていることから影響が大きく、エンタープライズで利用される数千万の機器に及ぶと指摘している。

リモートから機器の制御が奪われるおそれがあり、機器を利用した通話や映像配信などを盗聴されたり、ネットワーク機器に流れるデータの盗聴や改ざんのおそれがあると指摘。また組織内部ネットワークにおける横展開の侵害行為に悪用されるおそれがあるとして警鐘を鳴らしている。

脆弱性の報告を受けたCisco Systemsでは、脆弱性へ対処したアップデートを用意。セキュリティ機関からも注意喚起が行われている。

（Security NEXT - 2020/02/07 ） ツイート

PR

関連記事

「Apache MINA」の深刻な脆弱性 - 複数ブランチで修正未反映
「BerriAI LiteLLM」にSQLi脆弱性 - 認証情報漏洩のおそれ、悪用も
「Android」に近接ネットワーク経由のRCE脆弱性 - PoC公開も
「Linuxカーネル」の暗号通信処理にLoP脆弱性「Dirty Frag」
米当局、脆弱性3件の悪用を警告 - 「Ivanti EPMM」「PAN-OS」は緊急対応を
Linuxカーネルに権限昇格の脆弱性「Copy Fail」 - PoC公開済み
「Spring Cloud Config」にパストラバーサルなど複数脆弱性
複数脆弱性を修正した「Firefox 150.0.2」をリリース - Mozilla
「Firefox」にアップデート - 「クリティカル」脆弱性を解消
暗号化通信ライブラリ「GnuTLS」に複数脆弱性 - アップデートで修正