セキュリティ

SECURITY

公開：2024-10-24

【CVE-2024-20458】シスコシステムズがCisco ATA 191/192ファームウェアの重大な脆弱性を公開、情報改ざんとDoS攻撃のリスクに

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Cisco ATA 191/192ファームウェアにOSコマンドインジェクションの脆弱性
• 影響を受けるバージョンはCisco ATA 191/192の12.0.2未満と11.2.5未満
• 情報改ざんとDoS攻撃のリスクがあり、ベンダーが正式な対策を公開

Cisco ATA 191/192ファームウェアのOSコマンドインジェクション脆弱性が発見

シスコシステムズはCisco ATA 191およびATA 192ファームウェアに存在するOSコマンドインジェクションの脆弱性について、2024年10月16日に公開した。この脆弱性はCVSS v3の基本値が8.2と評価される重要な問題であり、攻撃元区分がネットワークで攻撃条件の複雑さが低く、特権レベルも不要という深刻な状況となっている。^[1]

影響を受けるバージョンはCisco ATA 191ファームウェア12.0.2未満および11.2.5未満、Cisco ATA 192ファームウェア11.2.5未満となっており、脆弱性の悪用により情報の改ざんやDoS攻撃を受ける可能性が指摘されている。シスコシステムズは正式な対策を公開しており、ユーザーに対して早急な対応を呼びかけている。

この脆弱性はCVE-2024-20458として識別されており、CWEによる脆弱性タイプはOSコマンドインジェクション(CWE-78)に分類されている。NVDによる評価では機密性への影響はないものの、完全性への影響が高く、可用性への影響も低度ながら存在すると判断されている。

Cisco ATA 191/192ファームウェアの脆弱性詳細

OSコマンドインジェクションについて

OSコマンドインジェクションとは、攻撃者が悪意のあるコマンドを実行可能なプログラムに挿入し、対象システムで不正なコマンドを実行する攻撃手法のことを指す。主な特徴として以下のような点が挙げられる。

• システムコマンドの実行権限を悪用した攻撃が可能
• 情報の改ざんやサービス停止などの被害をもたらす
• 入力値の適切な検証と制御が重要な対策となる

Cisco ATA 191/192ファームウェアで発見された脆弱性は、CVSS v3での評価が8.2と高い深刻度を示しており、特別な権限なしでネットワークを通じた攻撃が可能となっている。シスコシステムズが公開した対策パッチの適用により、OSコマンドインジェクションの脆弱性を修正することが可能となっている。

Cisco ATA 191/192ファームウェアの脆弱性に関する考察

シスコシステムズがこの脆弱性に対して迅速な対応を行い、正式な対策を公開したことは評価に値する。特に攻撃条件の複雑さが低く特権も不要という状況下で、情報の改ざんやDoS攻撃のリスクが存在することから、ユーザーへの早期の注意喚起と対策提供は重要な取り組みといえるだろう。

今後の課題として、ファームウェアのアップデート適用が遅れることによる脆弱性の残存リスクが考えられる。特に組織内での承認プロセスや検証期間の確保が必要となるため、アップデート適用までのタイムラグが発生する可能性が高いと推測される。

将来的な対策として、自動アップデート機能の強化や脆弱性検知の仕組みの改善が望まれる。特にOSコマンドインジェクションのような基本的な攻撃への対策を強化し、製品のセキュリティ品質をより一層向上させることで、ユーザーの安全な利用環境を確保することが期待される。

参考サイト

1. ^ JVN. 「JVNDB-2024-010927 - JVN iPedia - 脆弱性対策情報データベース」. https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-010927.html, (参照 24-10-24).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧