シスコシステムズから脆弱性情報の発表が続いている。United States Computer Emergency Readiness Team (US-CERT)は2月25日(米国時間)、「Cisco Releases Security Updates |CISA」において、2021年2月24日(米国時間)に公開されたシスコ製品の脆弱性に関する情報を伝えた。これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性がある。
脆弱性に関する情報は次のページにまとまっている。
- Cisco Application Services Engine Unauthorized Access Vulnerabilities
- Cisco NX-OS Software Unauthenticated Arbitrary File Actions Vulnerability
- Cisco ACI Multi-Site Orchestrator Application Services Engine Deployment Authentication Bypass Vulnerability
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- Cisco Application Services Engine Software releases 1.1(3d)およびこれよりも前のバージョン
- Nexus 3000 Series Switches (Cisco NX-OS Software Release 9.3(5)またはRelease 9.3(6))
- Nexus 9000 Series Switches in standalone NX-OS mode (Cisco NX-OS Software Release 9.3(5)またはRelease 9.3(6))
- Cisco ACI Multi-Site Orchestrator 3.0 (MSO) (Cisco Application Services Engineにデプロイ)
脆弱性は深刻度が緊急(Critical)に分類されており注意が必要。CVSSv3スコアは1つが10、2つが9.8とかなり高い値をつけている。シスコから公開されているセキュリティアドバイザリは上記のみだけではなく、2021年2月24日(米国時間)に他のセキュリティアドバイザリも発行されているほか、前後となる23日と25日にも別のセキュリティアドバイザリが発行されている。発行されたセキュリティアドバイザリの一覧は次のページからアクセスできる。
このところ、シスコからセキュリティアドバイザリの発行が続いている。リストに使用している製品が含まれていないか注意深く確認するとともに、該当するプロダクトを使用している場合は迅速に対応を取ることが望まれる。