United States Computer Emergency Readiness Team (US-CERT)は6月18日(米国時間)、「Cisco Releases Multiple Security Updates |CISA」において、複数のシスコシステムズ製品に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、遠隔から攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性がある。

US-CERTが情報を公開した直後に別のセキュリティアドバイザリも公開されており、注意が必要。US-CERTが前回にシスコ製品の脆弱性を指摘したタイミングから考えると、本稿執筆時点では次のセキュリティアドバイザリを確認する必要があると見られる。

Cisco IP Phones Call Log Information Disclosure Vulnerability

Multiple Vulnerabilities in Treck IP Stack Affecting Cisco Products: June 2020

Cisco Webex Meetings and Cisco Webex Meetings Server Token Handling Unauthorized Access Vulnerability

Cisco Webex Meetings Desktop App URL Filtering Arbitrary Program Execution Vulnerability

Cisco Webex Meetings Desktop App for Mac Update Feature Code Execution Vulnerability

Cisco TelePresence Collaboration Endpoint and RoomOS Software Command Injection Vulnerability

Cisco Small Business RV Series Routers Stack Overflow Arbitrary Code Execution Vulnerabilities

Cisco Small Business RV110W, RV130, RV130W, and RV215W Series Routers Management Interface Vulnerabilities

Cisco Small Business RV Series Routers Command Injection Vulnerabilities

Cisco Webex Meetings Desktop App for Windows Shared Memory Information Disclosure Vulnerability

Cisco IOS XR Software Standby Route Processor Gigabit Ethernet Management Interface Access Control List Bypass Vulnerability

Cisco Umbrella Open Redirect Vulnerability

Cisco UCS Director Path Traversal Vulnerability

Cisco UCS Director Information Disclosure Vulnerability

Cisco Smart Software Manager On-Prem Improper Access Control Vulnerability

Cisco Network Services Orchestrator Information Disclosure Vulnerability

Cisco Enterprise NFV Infrastructure Software Path Traversal Vulnerability

Cisco AMP for Endpoints and ClamAV Privilege Escalation Vulnerability

Cisco Email Security Appliance URL Filtering Bypass Vulnerability

Cisco Data Center Network Manager Stored Cross-Site Scripting Vulnerability

Cisco Data Center Network Manager Stored Cross-Site Scripting Vulnerability

Cisco Data Center Network Manager Stored Cross-Site Scripting Vulnerability

Cisco ASR 5000 Series Aggregation Services Routers Enhanced Charging Service Rule Bypass Vulnerability

SaltStack FrameWork Vulnerabilities Affecting Cisco Products

セキュリティアドバイザリ一覧は次のページから確認できる。以前のセキュリティアドバイザリのチェックが抜けていることも考えられることから、過去にさかのぼって該当するプロダクトを使用していないかも確認することが望まれる。

Security Advisories

Security Advisories

脆弱性のいくつかは深刻度が緊急(Critical)に分類されており注意が必要。Cybersecurity and Infrastructure Security Agency (CISA)はユーザーおよび管理者に対し、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。

最近、シスコからは頻繁にさまざまなプロダクトに関するセキュリティアドバイザリが発行されている。セキュリティアップデートを適用したばかりだとしても、新たな脆弱性が発見されることもあり、情報が公開される度にチェックして対処することが望まれる。