米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は6月2日(米国時間)、「Cisco Releases Security Updates for Multiple Products|CISA」において、シスコシステムズの複数の製品に脆弱性が含まれることが判明し、同社がセキュリティアップデートをリリースしたと伝えた。この脆弱性を悪用されると、悪意をもったユーザーが別のユーザになりすますことが可能になるという。

この脆弱性は、シスコの複数製品で使用されているSAML認証ライブラリ「Lasso」に存在するもので、2021年6月1日に「CVE-2021-28091」として公表された。同ライブラリのSAML認証において、アサーション署名の確認処理が正しく行われないことに起因して、認証済みのユーザーが別のユーザーになりすますことができるようになる。2005年11月から同ライブラリに存在していたことが確認されている。

シスコ製品のうい、内部的にLassoを利用している複数の製品がこの脆弱性の影響を受けることになる。影響を受ける製品およびバージョンは、Ciscoによる次のセキュリティアドバイザリにまとめられている。

  • Lasso SAML Implementation Vulnerability Affecting Cisco Products: June 2021

    Lasso SAML Implementation Vulnerability Affecting Cisco Products: June 2021

一部の製品については、すでに脆弱性が修正された最新版がリリースされている。まだアップデートが提供されていない製品についても、準備が整い次第順次リリースしていくとのことだ。

この脆弱性のCVSS v3.1のスコアで8.2と評価されており、影響度は5段階中2番目に高い「Important(重要)」に分類される。Cybersecurity and Infrastructure Security Agency (CISA)はユーザーおよび管理者に対し、上記のセキュリティ情報をチェックし、必要なアップデートを適用することを推奨している。