米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は1月20日、「Cisco Releases Security Updates for Multiple Products|CISA」において、シスコシステムズが複数の製品について脆弱性を修正するセキュリティアップデートをリリースしたことを伝えた。
これらの脆弱性を放置すると、悪意を持った第三者によって、管理者権限での機密情報の開示や任意のコマンドの実行、サービス運用妨害(DoS)、任意のスクリプトコードの実行の攻撃を受ける恐れがある。
セキュリティアップデートに関する情報は、次のセキュリティアドバイザリページにまとめられている。
今回のアップデートで修正された脆弱性は次に挙げる6件、 影響度の内訳はCritical(緊急)のものが1件、high(高)のものが4件、Medium(中程度)のものが1件となっている。
- CVE-2021-33193,CVE-2021-34798,CVE-2021-36160,CVE-2021-39275,CVE-2021-40438: Multiple Vulnerabilities in Apache HTTP Server Affecting Cisco Products: November 2021
- CVE-2022-20648,CVE-2022-20649: Cisco Redundancy Configuration Manager for Cisco StarOS Software Multiple Vulnerabilities
- CVE-2022-20685: Multiple Cisco Products Snort Modbus Denial of Service Vulnerability
- CVE-2022-20655: ConfD CLI Command Injection Vulnerability
- CVE-2022-20655: Multiple Cisco Products CLI Command Injection Vulnerability
- CVE-2022-20654: Cisco Webex Meetings Cross-Site Scripting Vulnerability
上記のうち、CVE-2022-20648およびCVE-2022-20649のCisco StarOSソフトウェアの脆弱性は影響度が「緊急」に指定されており注意が必要。この脆弱性を悪用されると、認証されていないリモートの攻撃者によって、設定されたコンテナのコンテキストでrootユーザーとして機密情報を開示されたり、任意のコマンドを実行されたりする危険性があるという。
Apache HTTP Serverにおける5件の脆弱性に関しては、2021年9月16日にApache Software Foundationより情報が公開されたもの。シスコはこれらについて同11月24日に最初のセキュリティアドバイザリをリリースしているが、今回のアドバイザリでは影響を受ける製品のリストが更新されている。