米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は9月30日(米国時間)、「Cisco Releases Security Updates for Multiple Products|CISA」において、シスコシステムズの複数製品に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性がある。
脆弱性に関する情報は次のページからたどることができる。
シスコからは短期間に比較的多くのセキュリティアドバイザリが発行される傾向が続いている。この1週間で発行または更新された脆弱性は次のとおり。
- [重要] 2022年09月27日 CVE-2022-20696 Cisco SD-WAN vManage Software Unauthenticated Access to Messaging Services Vulnerability
- [重要] 2022年09月28日 CVE-2022-20837 Cisco IOS XE Software DNS NAT Protocol Application Layer Gateway Denial of Service Vulnerability
- [重要] 2022年09月28日 CVE-2022-20945 Cisco Catalyst 9100 Series Access Points Association Request Denial of Service Vulnerability
- [重要] 2022年09月28日 CVE-2022-20856 Cisco IOS XE Wireless Controller Software for the Catalyst 9000 Family CAPWAP Mobility Denial of Service Vulnerability
- [重要] 2022年09月28日 CVE-2022-20855 Cisco IOS XE Software for Embedded Wireless Controllers on Catalyst Access Points Privilege Escalation Vulnerability
- [重要] 2022年09月28日 CVE-2022-20915 Cisco IOS XE Software IPv6 VPN over MPLS Denial of Service Vulnerability
- [重要] 2022年09月28日 CVE-2022-20944 Cisco IOS XE Software for Catalyst 9200 Series Switches Arbitrary Code Execution Vulnerability
- [重要] 2022年09月28日 CVE-2022-20919 Cisco IOS and IOS XE Software Common Industrial Protocol Request Denial of Service Vulnerability
- [重要] 2022年09月28日 CVE-2022-20870 Cisco IOS XE Software for Catalyst Switches MPLS Denial of Service Vulnerability
- [重要] 2022年09月28日 CVE-2022-20920 Cisco IOS and IOS XE Software SSH Denial of Service Vulnerability
- [重要] 2022年09月28日 CVE-2022-20847 Cisco IOS XE Wireless Controller Software for the Catalyst 9000 Family DHCP Processing Denial of Service Vulnerability
- [重要] 2022年09月28日 CVE-2022-20769 Cisco Wireless LAN Controller AireOS Software FIPS Mode Denial of Service Vulnerability
- [重要] 2022年09月28日 CVE-2022-20848 Cisco IOS XE Software for Embedded Wireless Controllers on Catalyst 9100 Series Access Points UDP Processing Denial of Service Vulnerability
- [重要] 2022年09月29日 CVE-2022-20775,CVE-2022-20818 Cisco SD-WAN Software Privilege Escalation Vulnerabilities
- 警告 2022年09月27日 CVE-2022-20728 Cisco Access Points VLAN Bypass from Native VLAN Vulnerability
- 警告 2022年09月27日 CVE-2021-27853,CVE-2021-27854,CVE-2021-27861,CVE-2021-27862 Vulnerabilities in Layer 2 Network Security Controls Affecting Cisco Products: September 2022
- 警告 2022年09月28日 CVE-2022-20850 Cisco SD-WAN Arbitrary File Deletion Vulnerability
- 警告 2022年09月28日 CVE-2022-20810 Cisco IOS XE Wireless Controller Software for the Catalyst 9000 Family SNMP Information Disclosure Vulnerability
- 警告 2022年09月28日 CVE-2022-20864 Cisco IOS XE ROM Monitor Software for Catalyst Switches Information Disclosure Vulnerability
- 警告 2022年09月28日 CVE-2022-20844 Cisco Software-Defined Application Visibility and Control on Cisco vManage Static Username and Password Vulnerability
- 警告 2022年09月28日 CVE-2022-20830 Cisco Software-Defined Application Visibility and Control on Cisco vManage Authentication Bypass Vulnerability
- 警告 2022年09月28日 CVE-2022-20930 Cisco SD-WAN Software Arbitrary File Corruption Vulnerability
- 警告 2022年09月28日 CVE-2022-20851 Cisco IOS XE Software Web UI Command Injection Vulnerability
- 警告 2022年09月29日 CVE-2022-20662 Cisco Duo for macOS Authentication Bypass Vulnerability
この1週間で発行または更新されたセキュリティアドバイザリは24個で、このうち14つは深刻度が重要(High)に分類されており注意が必要。CISAは、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。
すでに公開されているセキュリテアドバイザリがアップデートされたり、同じ製品であっても短い間隔で別のセキュリティアドバイザリが発行されたりすることがある。シスコ製品を使っている場合、掲載されているリストを日付などで整理しながら漏れなくチェックすることが望まれる。