セキュリティ

SECURITY

公開：2024-10-10

シスコ製品に二重解放の脆弱性、複数のMerakiデバイスに影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• 複数のシスコ製品に二重解放の脆弱性
• CVSS v3基本値7.5の重要な脆弱性
• ベンダーより正式な対策が公開済み

シスコ製品における二重解放の脆弱性

シスコシステムズは、Cisco Meraki MX65ファームウェア、Cisco Meraki MX64ファームウェア、Cisco Meraki Z4Cファームウェアなど、複数の製品に二重解放に関する脆弱性が存在することを公表した。この脆弱性はCVSS v3による深刻度基本値が7.5（重要）と評価されており、攻撃元区分はネットワーク、攻撃条件の複雑さは低いとされている。^[1]

影響を受ける製品は多岐にわたり、Cisco Meraki MX100、MX105、MX250、MX400、MX450、MX600、MX75、MX84、MX85、MX95、VMX、Z3、Z3C、Z4、Z4Cのファームウェア、およびCisco-Meraki MX64、MX65、MX68、MX68CW、MX68Wのファームウェアが含まれる。これらの製品のバージョンは16.2以上18.211.2未満が対象となっている。

この脆弱性の影響として、サービス運用妨害（DoS）状態にされる可能性があることが指摘されている。シスコシステムズは既に正式な対策を公開しており、ユーザーには適切な対策の実施を推奨している。脆弱性のタイプはCWEによって二重解放（CWE-415）と分類されており、共通脆弱性識別子はCVE-2024-20498として登録されている。

シスコ製品の脆弱性影響製品まとめ

二重解放について

二重解放とは、プログラムが同じメモリ領域を2回以上解放しようとする状態を指しており、主な特徴として以下のような点が挙げられる。

• メモリ破壊やセグメンテーションフォールトを引き起こす可能性がある
• 攻撃者によって悪用されると、任意のコード実行やDoS攻撃につながる可能性がある
• デバッグが困難で、間欠的なクラッシュの原因となることがある

今回のシスコ製品における脆弱性は、この二重解放に関連するものである。CVSSスコアが7.5と評価されていることから、この脆弱性の深刻度は高いと考えられる。攻撃条件の複雑さが低く、特権レベルや利用者の関与が不要とされていることから、潜在的な攻撃のリスクは無視できない。影響を受ける製品の管理者は、シスコが提供する対策を速やかに適用することが推奨される。

シスコ製品の脆弱性対策に関する考察

シスコ製品における二重解放の脆弱性は、ネットワークインフラストラクチャの重要な部分に影響を与える可能性があるため、早急な対応が求められる。特にMerakiシリーズは中小企業から大企業まで幅広く利用されているため、この脆弱性の影響範囲は非常に広いと考えられる。今後、この脆弱性を悪用したDoS攻撃が発生する可能性があり、組織のネットワーク可用性に深刻な影響を与える恐れがある。

この問題に対する解決策として、シスコが提供するファームウェアアップデートを速やかに適用することが最も効果的である。しかし、大規模な組織では多数のデバイスを管理しているため、一斉のアップデートが困難な場合がある。そのため、重要度の高いシステムから順次アップデートを行う、または一時的な緩和策としてネットワークセグメンテーションを強化するなどの対策を検討する必要があるだろう。

今後、シスコには脆弱性の早期発見と迅速な対応に加え、自動アップデート機能の強化や、脆弱性影響評価ツールの提供など、ユーザーの負担を軽減する取り組みが期待される。また、業界全体としては、ソフトウェア開発プロセスにおけるセキュリティ強化や、脆弱性情報の共有体制の改善など、根本的な対策に取り組むことが重要だ。これらの取り組みにより、将来的には同様の脆弱性の発生を減少させることができるだろう。

参考サイト

1. ^ JVN. 「JVNDB-2024-010008 - JVN iPedia - 脆弱性対策情報データベース」. https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-010008.html, (参照 24-10-10).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧