2023-10-23 情報処理推進機構
概要
シスコシステムズ合同会社が提供する「Cisco IOS XE」は、同社で提供されているネットワーク機器のオペレーティングシステムです。
この製品において、権限昇格の脆弱性が確認されています。
本脆弱性が悪用された場合、遠隔の認証されていない第三者により、最上位の特権アカウントを作成され、当該システムを制御される可能性があります。
本脆弱性を悪用する攻撃がすでに確認されているため、できるだけ早急に、製品開発者が提供する情報をもとに、脆弱性の解消や推奨事項の適用、侵害痕跡の調査の実施について検討ください。
影響を受けるシステム
- Web UI 機能が有効になっているすべての Cisco IOS XE ソフトウェア
対策
1.脆弱性の解消 – 修正プログラムの適用
開発者が提供する情報をもとに、修正バージョンが公開されている場合は最新版へアップデートしてください。
その他のバージョンについても順次リリースに向けた準備を進めているとのことです。
- Cisco IOS XE 17.9.4a
2.推奨事項
本脆弱性に対して、開発者は次の対応を強く推奨しています。詳細は、開発者が提供する情報をご確認ください。
- インターネット経由で接続可能なシステムでは HTTP サーバ機能を無効にする
- HTTP/HTTPS 通信を必要とするサービスを実行している場合、サービスへのアクセスを信頼できるネットワークに制限する
3.侵害痕跡の調査
本脆弱性に対して、開発者は悪用された可能性や悪用後の侵害状況を調査する方法を公開しています。
詳しくは、開発者が提供する下記サイトの情報をご確認ください。
お問い合わせ先
本件に関するお問い合わせ先
IPA セキュリティセンター
注釈:個別のシステムおよび環境に関するご質問を頂いても回答ができない場合があります。詳しくは製品ベンダなどにお問合せください。