シスコのセキュリティ チームのホリデー シーズンは大盛況のうちに終了しました。18 件のパッチがありましたが、ありがたいことにそのうち「重大」と評価されたのは 1 件のみでした。
Switchzilla の電子メール セキュリティ アプライアンスの AsyncOS オペレーティング システムは、CVE-2018-15453 において 2019 年第 1 位かつ最悪の脆弱性として評価されました。
このバグは、アプライアンスがS/MIME署名付きメールを処理する方法に影響します。攻撃者が標的のデバイスに悪意のあるメッセージを送信し、ユーザーが「復号と検証」または「公開鍵の収集」オプションを設定している場合、メモリ破損によりシステムがクラッシュします。
プロセスは自動的に再起動しますが、シスコのアドバイザリで説明されているように、実際には役に立ちません。なぜなら、悪意のあるメッセージを再度処理しようとするため、状況は悪化の一途を辿るからです。「エクスプロイトが成功すると、攻撃者は永続的なDoS状態を引き起こす可能性があります。この脆弱性により、ESAを復旧するには手動による介入が必要になる場合があります。」
AsyncOSは、URLフィルタリングにおける2つ目の脆弱性(CVE-2018-15460)(「高」と評価)の影響を受けています。攻撃者は、CPU使用率を最大まで強制的に引き上げた後、「ホワイトリストに登録された大量のURL」を含むメールをシステムに送信することで、アプライアンスをクラッシュさせる可能性があります。修正プログラムはすでに提供されており、すぐにアップグレードできないユーザー向けに、Ciscoは回避策の設定手順を提供しています。
2019年へようこそ: Exchangeサーバーがメールによって乗っ取られる可能性あり(その他のバグも修正が必要)
続きを読む
本日の脆弱性リストの残りの 16 件は、深刻度が「中」と評価されているだけなので、ご安心ください。
同社の 8800 シリーズ IP 電話はスクリプト インジェクション攻撃 (CVE-2018-0461) に対して脆弱ですが、攻撃者はデバイスの UI のコンテキストでのみスクリプトを実行できます。
クロスサイトスクリプティングのバグは、Webex Business Suite (CVE-2018-15461)、TelePresence Management Suite (CVE-2018-15467)、Prime Network Control System (CVE-2018-0482)、Jabber クライアント フレームワーク (CVE-2018-0483)、Identity Services Engine (2 つの CVE: CVE-2018-15440 および CVE-2018-15463)、およびコンテンツ セキュリティ管理アプライアンス (CVE-2018-15393) に 7 件あります。
情報漏洩の脆弱性については、Identity Services Engineにパスワード回復の脆弱性(CVE-2018-15456)があり、Unified Communications Managerにも資格情報が漏洩する可能性があります(CVE-2018-0474)。®
