【CVE-2024-20455】Cisco IOS XEに重大な脆弱性、DoS攻撃のリスクで早急な対応が必要に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Cisco IOS XEに深刻な脆弱性が発見
CVE-2024-20455として特定されたDoS脆弱性
複数のバージョンで影響を受ける可能性

Cisco IOS XEの脆弱性によるDoSリスク

シスコシステムズは2024年9月25日、Cisco IOS XEおよびCisco IOS XE SD-WANに存在する脆弱性について公開した。この脆弱性は【CVE-2024-20455】として識別され、NVDによる評価では攻撃条件の複雑さが低く、攻撃に必要な特権レベルは不要とされており、不正アクセスによってサービス運用妨害状態に陥る可能性が指摘されている。^[1]

この脆弱性の影響を受けるバージョンは、Cisco IOS XEの17.1.1から17.3.4までの複数のバージョンと、Cisco IOS XE SD-WANの17.5.1aから17.13.1aまでの広範なバージョンに及んでいる。NVDのCVSS v3による深刻度基本値は8.6と重要度が高く、早急な対策が求められる状況となっている。

シスコシステムズはこの脆弱性に対する正式な対策を既に公開しており、管理者はCisco Security Advisory（cisco-sa-sdwan-utd-dos-hDATqxs）を参照して適切な対策を実施することが推奨される。この脆弱性はCWEによって状態の問題（CWE-371）として分類されており、システムの可用性に重大な影響を及ぼす可能性がある。

Cisco IOS XEの脆弱性の影響範囲まとめ

項目	詳細
CVE番号	CVE-2024-20455
CVSS基本値	8.6（重要）
影響を受けるシステム	Cisco IOS XE 17.1.1-17.3.4、Cisco IOS XE SD-WAN 17.5.1a-17.13.1a
想定される影響	サービス運用妨害（DoS）状態
攻撃条件	攻撃条件の複雑さ：低、特権レベル：不要、利用者の関与：不要
CWE分類	状態の問題（CWE-371）

サービス運用妨害について

サービス運用妨害（DoS）とは、システムやネットワークの正常な運用を妨害し、本来のサービスが提供できない状態を引き起こす攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

システムリソースの過剰消費による機能停止
ネットワーク帯域の占有によるサービス遮断
システムの脆弱性を突いた機能停止の誘発

Cisco IOS XEの脆弱性では、攻撃者が特別に細工されたリクエストを送信することで、システムのリソースを枯渇させDoS状態を引き起こす可能性がある。この脆弱性はCVSS基本値が8.6と評価されており、攻撃の実行が容易で特権も不要なことから、早急な対策が必要とされている。

Cisco IOS XEの脆弱性に関する考察

Cisco IOS XEの脆弱性において、ベンダーが迅速に対策を公開したことは評価できる点である。しかしながら、影響を受けるバージョンが多岐にわたっており、大規模なネットワークインフラを持つ組織では、パッチ適用に伴うサービス停止やシステム更新の計画立案に時間を要する可能性が懸念される。

この脆弱性への対策が遅れることで、組織のネットワークインフラが攻撃者の標的となるリスクが高まることが予想される。対策としては、影響を受けるシステムの優先順位付けを行い、重要度の高いシステムから段階的にアップデートを実施することが効果的だろう。また、アップデート完了までの一時的な対策として、ファイアウォールによる不正アクセスの制限も検討に値する。

今後は、Cisco IOS XEのセキュリティ機能のさらなる強化が期待される。特に、DoS攻撃に対する耐性を高めるための機能改善や、脆弱性が発見された際の影響範囲を最小限に抑えるためのアーキテクチャの見直しが重要となるだろう。また、セキュリティアップデートの適用をより容易にする仕組みの整備も望まれる。