「WebEx Meetings Server」などCisco複数製品に「Apache Log4j」由来の脆弱性

ロギングライブラリ「Apache Log4j」に深刻な脆弱性が明らかとなった問題で、Cisco Systemsは複数製品が影響を受けることを明らかにした。現在も調査が進められており、さらに影響が拡大する可能性もある。

問題とされる「CVE-2021-44228」は、多くのJavaアプリケーションでログの記録に活用されているライブラリ「Apache Log4j」に明らかとなった脆弱性。悪用されるとリモートよりコードを実行されるおそれがある。

Ciscoでは「Cisco Webex Meetings Server」などコミュニケーション製品をはじめ、「Cisco Network Services Orchestrator」といったネットワーク管理製品、クラウドで提供されているDNSサービスの「Cisco Umbrella」など、現地時間12日の時点で22製品が影響を受けることを明らかにした。

クラウド認証サービス「Duo」については対策が完了したとしているが、他製品ではアップデートの提供がはじまっていない。さらにルータやスイッチなどのネットワーク製品、セキュリティ製品、クライアントなど、多くの製品が調査中の段階であり、さらに影響をが拡大する可能性がある。

同社が12月12日時点で影響を受けるとした製品は以下のとおり。また同社アドバイザリでは脆弱性の影響を受けないことが判明した39製品のリストもあわせて公開している。

Cisco Webex Meetings Server
Cisco Advanced Web Security Reporting Application
Cisco CloudCenter Suite Admin
Cisco Crosswork Change Automation
Cisco Evolved Programmable Network Manager
Cisco Integrated Management Controller (IMC) Supervisor
Cisco Intersight Virtual Appliance
Cisco Network Services Orchestrator (NSO)
Cisco WAN Automation Engine (WAE)
Cisco UCS Director
Cisco Computer Telephony Integration Object Server (CTIOS)
Cisco Packaged Contact Center Enterprise
Cisco Unified Contact Center Enterprise - Live Data server
Cisco Unified Contact Center Enterprise
Cisco Unified Intelligent Contact Management Enterprise
Cisco Unified SIP Proxy Software
Cisco Video Surveillance Operations Manager
Cisco Kinetic for Cities
Cisco Umbrella
Cisco Unified Communications Manager Cloud
Cisco Webex Cloud-Connected UC (CCUC)
Duo

（Security NEXT - 2021/12/13 ） ツイート

PR

関連記事

「Raspberry Pi」向け無線LAN管理ツールに脆弱性 - 修正版が公開
「vLLM」に深刻なRCE脆弱性 - 動画を扱う環境に影響
「SandboxJS」にあらたなサンドボックス回避脆弱性 - 再度修正を実施
LAN側からtelnet有効化できるマニュアル未記載機能 - NETGEAR製EOLルータ
「Apache Hadoop HDFS」に脆弱性 - アップデートが公開
直近更新で修正された「OpenSSL」脆弱性、「クリティカル」との評価も
相次ぐ脆弱性の悪用、ゼロデイ攻撃も - 悪用リスト登録が週明け以降7件
「NVIDIA runx」に脆弱性 - サポート終了により修正予定なし
「SolarWinds WHD」に複数の深刻な脆弱性 - アップデートで修正
「Ivanti EPMM」にゼロデイ脆弱性、悪用確認 - パッチ適用や侵害調査を