Ciscoのセキュリティパッチは穴だらけ? 雑な脆弱性対応問題について
Rapid7の研究者によると、Ciscoのファイアウォールのセキュリティパッチが当初の予定通りに機能していないという。攻撃に対して脆弱なままのユーザーはどうすべきか。
Ciscoのファイアウォールの脆弱(ぜいじゃく)性に対して同社が発行したパッチは期待通りに機能しておらず、攻撃者によって攻撃できる状態の可能性がある(注1)。その後、Csicoは修正したパッチを配布したが、多くのユーザーが適用していないという。
そのパッチ、効果なし? どう対応すべきか
30万以上の顧客がCiscoのセキュリティ製品を使用しており、100万台以上の「Cisco Adaptive Security Appliance」(ASA)が世界中に展開されている。
Rapid7の調査によると、攻撃者がCiscoのASAに悪意のあるコードを埋め込み、標的のネットワークにアクセスできるリスクがあるという。ASAは攻撃を仕掛けるための「トロイの木馬」として扱われる可能性がある。
Rapid7の研究者はBlack Hat USAでのプレゼンテーションで、「Cisco Adaptive Security Software」「Adaptive Security Device Manager」(ASDM)、「Firepower Services Software for ASA」に複数の脆弱性があり、数カ月間パッチが適用されていないことを報告した(注2)。
また、Rapid7のリードセキュリティリサーチャーであるジェイク・ベインズ氏は、電子メールで次のように語る。「中間攻撃者や不正なエンドポイントがASDMを攻撃することによって、任意のコードを実行できることを実証した。この情報をCiscoと共有したが、古いバージョンのASDMの互換性をサポートするため、Ciscoはこの問題に対処しないようだ」。
ベインズ氏によると、Rapid7は、ユーザーが悪意のあるソフトウェアをインストールしたかどうかを判断するのに役立つ複数のYARA(マルウェアを検知、解析するオープンソースのプログラム)ルールを公開したという(注3)。
それに対してCiscoは、Rapid7の研究者が公開した全ての脆弱性(CVE-2021-1585、CVE-2022-20829)に関する修正パッチを公開した。Ciscoの広報担当者によると、「CVE-2021-1985」は、CiscoのASAを実行するデバイスのASDMで修正され、ユーザーのローカルマシンの「Cisco ASDM-IDM Launcher」はいずれも更新されたと述べた。
「クリックスルーバイパスウィンドウは、ユーザーがASDMの古いバージョンを実行しているデバイスに、Cisco ASDM-IDM Launcherの最新アップデートを適用したローカルマシンを使用して接続した場合にのみ表示される」と、Ciscoの広報担当者は電子メールで伝えた。
Rapid7の研究者によると、有効なパッチを導入しているユーザーは非常に少なく、多くのユーザーがまだ攻撃に対して脆弱なままであるという。
© Industry Dive. All rights reserved.
関連記事
- Twitterの脆弱性対応はザルだった? 実は漏れていた個人情報の行方
Twitterは、第三者がアカウント情報から身元情報を確認できる脆弱性を抱えていた。当初は「悪用された形跡はない」としていたが、実は裏で情報を悪用していた人物がいた。 - Appleの新セキュリティ機能「ロックダウンモード」をオンにすべき理由
Appleは2022年の秋に、「ロックダウンモード」というセキュリティ機能を「iOS 16」「iPadOS 16」「macOS Ventura」などの次期OS群で提供する。ロックダウンモードをオンにすべきなのか。また、オンにしたことで高度な標的型攻撃にどれほど効果があるのか。