Cisco 社は、ネットワークおよび通信機器製品ライン向けの最新のセキュリティ アップデートをリリースしました。
今月の優先度の高いパッチは、Cisco IOS および Cisco IOS XE の Web UI におけるクロスサイト リクエスト フォージェリ (CVE-2019-16009) の修正です。この脆弱性を悪用されると、悪意のあるリンクを介してユーザーの認証情報が盗まれる可能性があります。
シスコはこのバグについて、「攻撃者がこの脆弱性を悪用すると、標的ユーザーの権限レベルで任意の操作を実行できる可能性があります」と述べています。「ユーザーが管理者権限を持っている場合、攻撃者は設定の変更、コマンドの実行、または影響を受けるデバイスのリロードを行う可能性があります。」
また、WebEx Video Meshにおけるコマンドインジェクション脆弱性(CVE-2019-16005)も高リスクに指定されました。この場合、攻撃者はWebExの管理者権限を既に取得している必要がありますが、アプリのインターフェースを使用してホストマシンにコマンドを送信できるようになります。つまり、あるアプリの管理者権限からマシン全体の管理者権限へと権限が移行してしまうことになります。回避策はないため、早急にパッチを適用してください。
それほど深刻ではない欠陥の中には、Cisco UCS プラットフォームに CVE-2019-16003 という、認証ロジック エラーにより認証されていないユーザーが Web インターフェイス経由でログ ファイルを表示できるバグがありました。
新年、インストールすべき重要なシスコのパッチ – 今回は、認証の回避やコマンドの挿入などに悪用される可能性のある12個のバグに対するもの
続きを読む
CVE-2019-15255は、Cisco Identity Services Engineにおけるセキュリティバイパスの脆弱性を説明しています。管理者権限を持つユーザーであれば、特別に細工されたURLを介してこのバグを悪用される可能性があります。
AnyConnect モバイル サービスを使用している企業は、Android モビリティ クライアントの脆弱性である CVE-2019-16007 に細心の注意を払う必要があります。この脆弱性により、攻撃者はユーザー セッションを乗っ取って機密情報にアクセスしたり、単純にサービス拒否を引き起こしたりできるようになります。
CVE-2019-16025は、Cisco Emergency Responderスイートに存在する脆弱性で、クロスサイトスクリプティングの危険性があります。それ自体は特に深刻な欠陥ではありませんが、警察、消防、救急医療サービスにおいてこのような事態が発生することは決して望ましくありません。
管理者は、Microsoft、Adobe、SAP が 1 月のセキュリティ アップデートを予定どおりにリリースする予定の来週火曜日までに、該当するすべての Cisco パッチをテストしてインストールすることをお勧めします。®
