セキュリティ

SECURITY

公開：2024-10-13

シスコシステムズ製品に認証回避の脆弱性、MXシリーズなど広範な製品が影響を受ける可能性

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• 複数のシスコシステムズ製品に認証回避の脆弱性
• Cisco Meraki MXシリーズなど多数の製品が影響
• ファームウェアアップデートによる対策が必要

シスコシステムズ製品の認証回避脆弱性

シスコシステムズは複数の製品において、ユーザ制御の鍵による認証回避に関する脆弱性が存在することを公表した。この脆弱性は、Cisco Meraki MXシリーズやZシリーズなど、広範な製品ラインナップに影響を及ぼしている。CVSSv3による深刻度基本値は5.3（警告）とされ、攻撃元区分はネットワークで攻撃条件の複雑さは低いと評価されている。^[1]

影響を受ける製品には、Cisco Meraki MX100、MX105、MX250、MX400、MX450、MX600、MX75、MX84、MX85、MX95、VMX、Z3、Z3C、Z4、Z4C、MX64、MX65、MX68、MX68CW、MX68Wなどが含まれる。これらの製品のファームウェアバージョンは、16.2以上18.211.2未満が対象となっている。脆弱性の特性上、攻撃に特権レベルは不要であり、利用者の関与も必要としない点が懸念される。

この脆弱性により、攻撃者はサービス運用妨害（DoS）状態を引き起こす可能性がある。シスコシステムズは正式な対策としてファームウェアアップデートを公開しており、ユーザーに対して適切な対策の実施を呼びかけている。影響を受ける可能性のあるユーザーは、シスコのセキュリティアドバイザリ（cisco-sa-meraki-mx-vpn-dos-QTRHzG2）を参照し、速やかに対応することが推奨される。

シスコシステムズ製品の脆弱性影響まとめ

CVSSについて

CVSSとは、Common Vulnerability Scoring Systemの略称で、情報システムの脆弱性の深刻度を評価するための業界標準指標である。主な特徴として以下のような点が挙げられる。

• 0.0から10.0までの数値で脆弱性の深刻度を表現
• 攻撃の容易さや影響範囲など複数の要素を考慮
• ベースメトリクス、現状メトリクス、環境メトリクスの3種類で構成

今回のシスコシステムズ製品の脆弱性では、CVSSv3による深刻度基本値が5.3（警告）と評価されている。この評価は、攻撃元区分がネットワークであり、攻撃条件の複雑さが低いことを示している。また、攻撃に必要な特権レベルが不要で利用者の関与も必要ないという点が、この脆弱性の特徴として挙げられる。

シスコシステムズ製品の脆弱性に関する考察

シスコシステムズの製品に発見された認証回避の脆弱性は、ネットワーク機器の安全性に対する重要な警鐘となっている。特に、MXシリーズやZシリーズなど広範な製品に影響が及んでいる点は、多くの組織のネットワークインフラに潜在的なリスクをもたらす可能性があるだろう。この脆弱性が攻撃者に悪用された場合、サービス運用妨害（DoS）状態を引き起こす可能性があり、企業や組織の業務継続性に深刻な影響を及ぼす恐れがある。

今後の課題として、ファームウェアアップデートの迅速な適用が挙げられる。多くの組織では、運用中のネットワーク機器のアップデートに慎重にならざるを得ず、脆弱性が修正されたバージョンへの移行に時間がかかる可能性がある。この問題に対する解決策として、シスコシステムズには段階的なアップデートプロセスの提供や、アップデート適用前後の動作検証サポートの強化が求められるだろう。

また、今回の事例を踏まえ、ネットワーク機器メーカーには、製品開発段階でのセキュリティ設計の見直しと強化が期待される。特に、認証メカニズムの堅牢性向上や、脆弱性が発見された際の迅速な対応体制の構築が重要だ。ユーザー側も、定期的なセキュリティアセスメントの実施や、最新のセキュリティ情報の監視を通じて、自社ネットワークの防御力強化に努めることが不可欠となるだろう。

参考サイト

1. ^ . 「JVNDB-2024-010074 - JVN iPedia - 脆弱性対策情報データベース」. https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-010074.html, (参照 24-10-13).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧