Cisco製セキュリティアプライアンスにRSA秘密鍵漏洩のおそれ

「Cisco Adaptive Security Applianceソフトウェア」「Cisco Firepower Threat Defenseソフトウェア」において、RSA秘密鍵が漏洩するおそれがある脆弱性が明らかとなった。

「Cisco ASAソフトウェア9.16.1」「Cisco FTD ソフトウェア7.0.0」以降のバージョンにおいて、RSA鍵をメモリへ格納する際の処理に脆弱性「CVE-2022-20866」が明らかとなったもの。

リモートより「Lenstraサイドチャネル攻撃」を行うことでRSA鍵を取得することが可能となる脆弱性で、脆弱なデバイス上で鍵の生成や更新、インポート作業などを行った場合に漏洩するおそれがあるという。

秘密鍵が漏洩すると、デバイスのなりすましやトラフィックの解読などに悪用されるおそれがある。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.4」、重要度は4段階中、上から2番目にあたる「高（High）」とレーティングされている。

同社は計算上、脆弱なデバイス上にある約5％のRSA鍵に影響を与えるとの見方を示しており、必ずしもすべての鍵が影響を受けるわけではないとしている。

同社は脆弱性を修正するアップデートを公開。利用者へ更新するよう求めている。あわせて同社が提供するスクリプトや利用状況から侵害の兆候がないか確認し、必要に応じてRSA鍵を使用したすべての証明書を失効させ、交換することを推奨している。

（Security NEXT - 2022/08/16 ） ツイート

PR

関連記事

「Parse Server」に認証回避の脆弱性 - 別アプリのトークンでログイン可能に
「i-フィルター」など複数製品に脆弱性 - 修正版をリリース
米当局、「Ivanti EPM」など3製品の脆弱性悪用に注意喚起
「MS Edge」にアップデート - 「クリティカル」脆弱性を複数修正
米当局、悪用カタログに既知脆弱性5件を登録 - AppleやRockwellなど
「iPhone」狙う強力な攻撃キット「Coruna」 - 多数脆弱性を悪用、CVE未採番も
JetBrainsの複数製品に脆弱性 - 「Hub」ではクリティカルも
「VMware Aria Operations」の脆弱性など悪用に注意喚起 - 米当局
「EC-CUBE」に多要素認証を回避される脆弱性 - 修正パッチを公開
自然言語処理ライブラリ「NLTK」に深刻なRCE脆弱性