「Cisco IOS XE」のゼロデイ脆弱性を修正するアップデートが一部公開
「Cisco IOS XE」に深刻な脆弱性「CVE-2023-20198」が存在し、ゼロデイ攻撃が発生している問題で、一部アップデートの提供を開始した。また悪用された脆弱性に「CVE-2023-20273」を追加している。
「CVE-2023-20198」は、「Cisco IOS XE」のウェブユーザーインタフェースに明らかとなった脆弱性。リモートより特権コマンドを実行してローカルアカウントを作成することが可能となる。少なくとも9月中旬ごろより悪用されているものと見られる。
同社はアドバイザリを更新し、「CVE-2023-20273」について追記した。同脆弱性を悪用することで、ローカルユーザーをroot権限に昇格させ、悪意あるプログラムを埋め込んでいたという。共通脆弱性評価システム「CVSSv3.1」のベーススコアは、「CVE-2023-20198」を「10.0」、「CVE-2023-20273」を「7.2」と評価している。
当初「CVE-2023-20198」により特権アカウントを作成し、悪意あるプログラムの埋め込みに「CVE-2021-1435」を悪用したものと見ていたが、一連の攻撃を「CVE-2023-20198」と「CVE-2023-20273」の組み合わせによるものと修正した。
同社は、現地時間10月22日に脆弱性を修正した「同17.9.4a」をリリースした。「同17.6.6a」「同17.3.8a」「同16.12.10a」の提供時期は未定。なお「同16.12.10a」は、「Cisco Catalyst 3650」「同3850」でのみ利用できるとしている。
(Security NEXT - 2023/10/23 )
ツイート
PR
関連記事
ランサム被害、委託先の設定ミスが侵入経路に - 不動産仲介会社
農業高校で生徒の個人情報含む教務手帳が所在不明 - 東京都
案内メールで誤送信、顧客のメアド流出 - ペットフード会社
ビデオ会議の「Zoom」、9月の定例アドバイザリは1件のみ
「WordPress」向けLMS構築プラグインに複数のSQLi脆弱性
顧客情報を用いた脅迫容疑で従業員が逮捕 - 東北電力子会社
GitLab、クリティカルパッチを公開 - 脆弱性17件に対応
専門学校生対象のセキュリティコンテスト - 課題は「ASMツール」
ビデオ会議の「Zoom」にアドバイザリ - 誤公開の可能性も
「Cisco IOS XR」など複数Cisco製品に脆弱性