Ciscoのセキュリティパッチは穴だらけ？ 雑な脆弱性対応問題について

Rapid7の研究者によると、Ciscoのファイアウォールのセキュリティパッチが当初の予定通りに機能していないという。攻撃に対して脆弱なままのユーザーはどうすべきか。

[David Jones，Cybersecurity Dive]

　Ciscoのファイアウォールの脆弱（ぜいじゃく）性に対して同社が発行したパッチは期待通りに機能しておらず、攻撃者によって攻撃できる状態の可能性がある（注1）。その後、Csicoは修正したパッチを配布したが、多くのユーザーが適用していないという。

そのパッチ、効果なし？　どう対応すべきか

　30万以上の顧客がCiscoのセキュリティ製品を使用しており、100万台以上の「Cisco Adaptive Security Appliance」（ASA）が世界中に展開されている。

　Rapid7の調査によると、攻撃者がCiscoのASAに悪意のあるコードを埋め込み、標的のネットワークにアクセスできるリスクがあるという。ASAは攻撃を仕掛けるための「トロイの木馬」として扱われる可能性がある。

　Rapid7の研究者はBlack Hat USAでのプレゼンテーションで、「Cisco Adaptive Security Software」「Adaptive Security Device Manager」（ASDM）、「Firepower Services Software for ASA」に複数の脆弱性があり、数カ月間パッチが適用されていないことを報告した（注2）。

　また、Rapid7のリードセキュリティリサーチャーであるジェイク・ベインズ氏は、電子メールで次のように語る。「中間攻撃者や不正なエンドポイントがASDMを攻撃することによって、任意のコードを実行できることを実証した。この情報をCiscoと共有したが、古いバージョンのASDMの互換性をサポートするため、Ciscoはこの問題に対処しないようだ」。

　ベインズ氏によると、Rapid7は、ユーザーが悪意のあるソフトウェアをインストールしたかどうかを判断するのに役立つ複数のYARA（マルウェアを検知、解析するオープンソースのプログラム）ルールを公開したという（注3）。

　それに対してCiscoは、Rapid7の研究者が公開した全ての脆弱性（CVE-2021-1585、CVE-2022-20829）に関する修正パッチを公開した。Ciscoの広報担当者によると、「CVE-2021-1985」は、CiscoのASAを実行するデバイスのASDMで修正され、ユーザーのローカルマシンの「Cisco ASDM-IDM Launcher」はいずれも更新されたと述べた。

　「クリックスルーバイパスウィンドウは、ユーザーがASDMの古いバージョンを実行しているデバイスに、Cisco ASDM-IDM Launcherの最新アップデートを適用したローカルマシンを使用して接続した場合にのみ表示される」と、Ciscoの広報担当者は電子メールで伝えた。

　Rapid7の研究者によると、有効なパッチを導入しているユーザーは非常に少なく、多くのユーザーがまだ攻撃に対して脆弱なままであるという。

出典：Researchers say Cisco firewall software remains vulnerable to attack despite patch（Cybersecurity Dive）

注1：Rapid7 Discovered Vulnerabilities in Cisco ASA, ASDM, and FirePOWER Services Software

注2：Critical flaws on widely used Cisco firewalls left unpatched for months

注3：jbaines-r7/cisco_asa_research