独立行政法人情報処理推進機構(IPA)は10月23日、Cisco 製 Cisco IOS XE の Web UI の脆弱性について発表した。影響を受けるシステムは以下の通り。
Web UI 機能が有効になっているすべての Cisco IOS XE ソフトウェア
シスコシステムズ合同会社が提供する、同社提供のネットワーク機器のオペレーティングシステム「Cisco IOS XE」には、権限昇格の脆弱性が確認されており、本脆弱性が悪用された場合、遠隔の認証されていない第三者に最上位の特権アカウントを作成され、当該システムを制御される可能性がある。
本脆弱性を悪用する攻撃がすでに確認されており、IPAでは早急に、製品開発者が提供する情報をもとに、脆弱性の解消や推奨事項の適用、侵害痕跡の調査の実施について検討するよう呼びかけている。
Cisco IOS XE 17.9.4a については修正バージョンが公開されており、IPAでは最新版へのアップデートを呼びかけている。シスコシステムズでは、その他のバージョンについても順次リリースに向けた準備を進めている。
またシスコシステムズでは、下記の対応を強く推奨している。
インターネット経由で接続可能なシステムでは HTTP サーバ機能を無効にする
HTTP/HTTPS 通信を必要とするサービスを実行している場合、サービスへのアクセスを信頼できるネットワークに制限する