Cisco製品の脆弱性でCVSS「10.0」 回避策はあるのか？

Cisco製品にCVSSスコアが「10.0」（緊急）の脆弱性が見つかった。該当製品を利用している場合はすぐにも対応が必要だ。

[Matt Kapko，Cybersecurity Dive]

　Cisco Systems（以下Cisco）製品に重大な脆弱（ぜいじゃく）性が見つかった。共通脆弱性評価システム（CVSS）のスコアは「緊急」に相当する「10.0」だ。

Cisco BroadWorksに脆弱性

　サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）によると、「Cisco BroadWorks Application Delivery Platform」と「Cisco BroadWorks Xtended Services Platform」に重大な脆弱性があり、攻撃者が顧客のシステムをコントロールしたり、サービスを停止させたりする恐れがあるという。

　Cisco BroadWorksは通話やコラボレーションなどの機能を提供し、「Cisco Webex」と統合可能なプラットフォームだ。

　回避策はあるのだろうか。

　「Cisco BroadWorksの一部のバージョンのシングルサインオン実装における脆弱性『CVE-2023-20238』を悪用して（注1）攻撃者が認証情報を偽造し、特権コマンドを実行する恐れがある」とCisco Systems（以下Cisco）は2023年9月6日にセキュリティアドバイザリーで発表した（注2）。

　Ciscoの広報担当者は「Cybersecurity Dive」に対して、「今のところ、この脆弱性の悪用に関する情報は届いておらず、修正済みのソフトウェアが利用可能だ」と語った。

　ただし、この脆弱性に対する回避策はなく、管理者アカウントレベルの権限を得た攻撃者に悪用された場合、機密情報が漏えいする恐れがある。

2023年に複数のセキュリティアラートを発しているCisco

　CISAは2023年8月中旬以降、複数の製品に関する脆弱性について2件のセキュリティアラートを発しており、CVE-2023-20238はCiscoが2023年に公表した12件目の重大な脆弱性だ（注3）。

　「当社は製品のセキュリティに関する脆弱性を報告するための開示プロセスに従っている」（Ciscoの広報担当者）

　企業で使用されるソフトウェアの脆弱性は着実に増加している。顧客が攻撃者の侵入を防ぐためにシステムを監視し、定期的なアップデートやダメージコントロールを常に実行する必要がない形で製品を構築するように、CISAは技術ベンダーに対して強く求めた（注4）。

　2023年、Ciscoは自社製品に関して157件のセキュリティアドバイザリーを発表した。これに対して、Microsoftは、2023年に926件の共通脆弱性識別子を発行した。両社とも多くの企業で製品が使用されているベンダーだ。

出典：Cisco BroadWorks vulnerability snags highest CVSS score（Cybersecurity Dive）

注1：CVE-2023-20238 Detail（NIST)

注2：Cisco BroadWorks Application Delivery Platform and Xtended Services Platform Authentication Bypass Vulnerability（CISCO）

注3：Cisco Security Advisories（CISCO）

注4：Explore the core tactics of secure by design and default（Cybersecurity Dive）