セキュリティ

SECURITY

公開：2024-10-24

【CVE-2024-20462】シスコシステムズのCisco ATA 191/192ファームウェアに認証情報保護の脆弱性、情報漏洩のリスクに警鐘

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• シスコシステムズのCisco ATA製品に脆弱性
• 認証情報の不十分な保護が問題として浮上
• 複数バージョンのファームウェアに影響

シスコシステムズのCisco ATA 191/192ファームウェアにおける認証情報の脆弱性

シスコシステムズは、Cisco ATA 191およびCisco ATA 192ファームウェアにおいて認証情報の保護が不十分である脆弱性を公開した。CVSS v3による深刻度基本値は5.5であり、攻撃元区分はローカルで攻撃条件の複雑さは低く、攻撃に必要な特権レベルは低いとされている。^[1]

影響を受けるバージョンは、Cisco ATA 191ファームウェア12.0.2未満およびCisco ATA 191/192ファームウェア11.2.5未満となっている。脆弱性が悪用された場合、攻撃者によって情報を取得される可能性があることが判明した。ベンダーより正式な対策が公開されており、早急な対応が推奨されている。

この脆弱性は【CVE-2024-20462】として識別されており、CWEによる脆弱性タイプは復元可能な形式でのパスワード保存（CWE-257）および認証情報の不十分な保護（CWE-522）に分類されている。NVDの評価では、機密性への影響が高いものの、完全性および可用性への影響はないとされている。

Cisco ATA 191/192ファームウェアの脆弱性詳細

認証情報の不十分な保護について

認証情報の不十分な保護とは、パスワードやアクセストークンなどの認証情報が適切に保護されていない状態を指す状況のことを指す。主な特徴として、以下のような点が挙げられる。

• 暗号化されていないパスワードの保存
• 脆弱な暗号化アルゴリズムの使用
• 認証情報の安全でない転送や保管

シスコシステムズのCisco ATA 191/192ファームウェアでは、認証情報が復元可能な形式で保存されており、攻撃者によって情報が取得される可能性が指摘されている。NVDの評価では機密性への影響が高いとされており、早急な対策が必要とされている。

Cisco ATA 191/192ファームウェアの脆弱性に関する考察

シスコシステムズのCisco ATA 191/192ファームウェアにおける認証情報の不十分な保護は、機密情報漏洩のリスクを高める重大な問題となっている。攻撃条件の複雑さが低く特権レベルも低いため、比較的容易に攻撃が実行される可能性があり、企業のセキュリティ体制に大きな影響を与える可能性がある。

今後の課題として、認証情報の暗号化強化や安全な保存方法の確立が挙げられる。特に、パスワードの保存方式を不可逆な暗号化方式に変更することや、多要素認証の導入により、認証情報の保護を強化することが重要となるだろう。

ファームウェアのアップデートによって脆弱性は修正されるが、同様の問題が再発することを防ぐため、開発段階でのセキュリティレビューの強化が望まれる。今後はゼロトラストセキュリティの考え方を取り入れ、より強固な認証基盤の構築を期待したい。

参考サイト

1. ^ JVN. 「JVNDB-2024-010931 - JVN iPedia - 脆弱性対策情報データベース」. https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-010931.html, (参照 24-10-24).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧