米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は5月6日(米国時間)、「 Cisco Releases Security Updates for Multiple Products |CISA」において、シスコシステムズの複数の製品に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性がある。
脆弱性に関する情報は次のページにまとまっている。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は特に、次のセキュリティアドバイザリをチェックして必要なアップデートを適用することを推奨している。
- Cisco SD-WAN vManage Software Vulnerabilities
- Cisco HyperFlex HX Command Injection Vulnerabilities
- Cisco SD-WAN Software vDaemon Denial of Service Vulnerability
- Cisco SD-WAN vEdge Software Buffer Overflow Vulnerabilities
- Cisco SD-WAN vManage Software Authentication Bypass Vulnerability
- Cisco Small Business 100, 300, and 500 Series Wireless Access Points Vulnerabilities
- Cisco Enterprise NFV Infrastructure Software Command Injection Vulnerability
- Cisco Unified Communications Manager IM & Presence Service SQL Injection Vulnerabilities
- Cisco AnyConnect Secure Mobility Client for Windows DLL and Executable Hijacking Vulnerabilities
発表された脆弱性の中には深刻度が緊急(Critical)に分類されるものもあるため注意が必要。多くのセキュリティアドバイザリが同時に発行されていることから、使用しているプロダクトが対象になっているかどうか注意深く確認するとともに、該当している場合は迅速に対処を行うことが望まれる。