Cisco Systemsは6月7日(米国時間)に「Cisco AnyConnect Secure Mobility Client Software for Windows and Cisco Secure Client Software for Windows Privilege Escalation Vulnerability」において「Cisco AnyConnect Secure Mobility Client Software」と「Cisco Secure Client Software」に脆弱性が存在すると伝えた。
修正対象の脆弱性は「CVE-2023-20178」として特定され、その深刻度は共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)のスコア値7.8で重要(High)と評価されている。影響を受けるとされる製品は次のとおり。
- Cisco AnyConnect Secure Mobility Client Software for Windows
- Cisco Secure Client Software for Windows
脆弱性の深刻度は「重要(High)」であり、緊急(Critical)には分類されていない。しかし、このほど研究者によって概念実証(PoC: Proof of Concept)が公開されたことで状況が変わった。
脆弱性「CVE-2023-20178」を悪用して任意のファイルを削除するPoCが「Wh04m1001/CVE-2023-20178」において公開された。公開されたPoCは脆弱性の研究に利用されるが、同時に、サイバー犯罪者によっても悪用される。PoCが公開されたことで状況はよりリスクが高くなっている。該当する製品を使用している場合はただちにアップデートを適用することが望まれる。