米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は8月19日(現地時間)、「 Cisco Releases Security Updates for Multiple Products|CISA」において、シスコシステムズが複数の製品に対して脆弱性に対処するためのセキュリティアップデートをリリースしたと伝えた。
脆弱性が悪用された場合の主な影響としては、リモートコード実行やサービス拒否妨害、データ漏洩、セキュリティ設定情報の変更などが挙げられている。
各製品の脆弱性に関する情報は、それぞれ以下のセキュリティアドバイザリで公表されている。
- BlackBerry QNX-2021-001 Vulnerability Affecting Cisco Products: August 2021(CVE-2021-22156)
- Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers Remote Command Execution and Denial of Service Vulnerability(CVE-2021-34730)
- Multiple Cisco Products Server Name Identification Data Exfiltration Vulnerability(CVE-2021-34749)
- Cisco Secure Email and Web Manager Spam Quarantine Unauthorized Access Vulnerability(CVE-2021-1561)
- Cisco Video Surveillance 7000 Series IP Cameras Link Layer Discovery Protocol Double-Free Denial of Service Vulnerability(CVE-2021-34734)
- Cisco Expressway Series and TelePresence Video Communication Server Image Verification Vulnerability(CVE-2021-34715)
- Cisco Expressway Series and TelePresence Video Communication Server Remote Code Execution Vulnerability(CVE-2021-34716)
上記のうち、CVE-2021-22156とCVE-2021-34730はCVSS v3のベーススコアが「9.8」で、深刻度が最も高い「緊急」に分類されている。
CVE-2021-22156は、2021年8月17日に公開されたBlackBerry QNXにおける任意コード実行の脆弱性によるもの。この脆弱性は組み込み機器のメモリ割り当て処理に関する脆弱性をまとめた通称「BadAlloc」の一つとして追加されたもので、シスコ製品もBlackBerry QNXを搭載した機器が影響を受ける可能性がある。シスコは現在、CVE-2021-22156の影響を受ける製品とサービスの特定を進めており、調査が進み次第アドバイザリを更新するとのことだ。
CVE-2021-34730はスモールビジネス向けのルータ製品における着信UPnPトラフィックの不適切な検証に起因する脆弱性で、攻撃者によってリモートから任意のコマンドを実行されたり、デバイスが意図せず再起動されたりするなどの被害を受ける可能性がある。Cisco Small Business RV110W、RV130、RV130W、およびRV215Wが影響を受けるが、これらの製品はすでにサポート終了プロセスに入っているため、修正版のソフトウェアがリリースされる予定はないという。UPnP機能を無効にすることでこの脆弱性を回避することは可能だが、シスコは後継製品であるRV132W、RV160、またはRV160Wに移行することを推奨している。