ニュース 2019.03.13 複数のCiscoの製品で脆弱性が発覚、早急にアップデートを
アメリカの情報セキュリティ対策組織「US-CERT」は、米国時間の2月27日にシスコシステムズの複数の製品に脆弱性が見つかったことを発表した。シスコでは、同日に脆弱性に関する2件のセキュリティアドバイザリを打ち出しており、脆弱性の概要と該当製品、アップデート情報について説明している。
ルーター、ファイアウォールの管理インタフェースにおける脆弱性
(出展:Cisco Security Advisories)
今回発見された脆弱性の1つ(CVE-2019-1663)は、RV110W Wireless-N VPNファイアウォール、RV130W Wireless-N多機能VPNルータ、およびRV215W Wireless-N VPNルータの管理インターフェイスに影響する問題だとシスコは報告している。
これは、Webベースの管理インターフェースにおけるユーザー提供データの不適切な検証が原因とみられる。悪意のあるHTTPリクエストを該当製品に送信することで、攻撃者はユーザーのオペレーティングシステムを乗っ取れる可能性がある。
<該当製品>
・RV110W Wireless-N VPN ファイアウォール
・RV130W Wireless-N 多機能 VPN ルータ
・RV215W Wireless-N VPN ルータ
オンライン電話会議システム(WebEX)における脆弱性
(出展:Cisco Security Advisories)
今回発表されたもう1つの脆弱性(CVE-2019-1674 )は、Windows用のWebex MeetingsデスクトップアプリケーションおよびWebex生産性向上ツールのアップデートサービスで発見された。
この脆弱性は、引数を指定して更新サービスコマンドを呼び出すことにより悪用される可能性があり、その場合、システム ユーザ権限を使用して任意のコマンドを実行される恐れがある。
<該当製品>
・Cisco WebEx Meetings デスクトップ アプリケーション(Windows版)
・Cisco WebEx 生産性ツール(Windows版)
早急なアップデートを
これらの脆弱性への対策として、シスコは脆弱性に対処を行なったアップデートをリリースしており、対象のデバイスへのインストールを呼びかけている。アップデート情報を下記のサイトを参照。
<アップデート情報>
・Cisco RV110W、RV130W および RV215W ルータ マネージメントインターフェイス Remote コマンド実行脆弱性(シスコ)
https://www.cisco.com/c/ja_jp/support/docs/csa/2019/cisco-sa-20190227-rmi-cmd-ex.html
・Cisco WebEx Meetings デスクトップ アプリケーションおよび Cisco WebEx 生産性ツール アップデート サービス コマンド インジェクト脆弱性(シスコ)
https://www.cisco.com/c/ja_jp/support/docs/csa/2019/cisco-sa-20190227-wmda-cmdinj.html
<関連URL>
・Cisco Releases Security Updates(US-CERT)
https://www.us-cert.gov/ncas/current-activity/2019/02/27/Cisco-Releases-Security-Updates
・Cisco RV110W、RV130W および RV215W ルータ マネージメントインターフェイス Remote コマンド実行脆弱性(シスコ)
https://www.cisco.com/c/ja_jp/support/docs/csa/2019/cisco-sa-20190227-rmi-cmd-ex.html
・Cisco WebEx Meetings デスクトップ アプリケーションおよび Cisco WebEx 生産性ツール アップデート サービス コマンド インジェクト脆弱性(シスコ)
https://www.cisco.com/c/ja_jp/support/docs/csa/2019/cisco-sa-20190227-wmda-cmdinj.html
TEXT:セキュリティ通信 編集部
PHOTO:iStock
- tag
あなたの大切なパソコン・スマホを守ります!
世界が認める総合ウイルス対策ソフト
