シスコ、データセンター製品DCNMの重大な欠陥を修正

Steven Seeley氏がCisco Data Center Network Managerの120を超える欠陥を指摘

シスコは、セキュリティ研究者であるSteven Seeley氏による指摘を受け、Data Center Network Manager(DCNM)製品の脆弱性スタックに対処する6つのセキュリティアドバイザリを発行しました。

この欠陥は、広く使用されているネットワークインフラストラクチャ製品の「スタティックな」(=ハードコードされた)暗号化キーなどの問題を不正利用します。 3つの根本的な欠陥により、リモートの攻撃者は管理者権限を取得し、デバイスを乗っ取る可能性があります。 Seeley氏は、彼のSource Inciteブログ上で120個の欠陥を挙げています。これらはTrend MicroのZero Day InitiativeのBug Bounty(=バグや脆弱性を報告すれば報奨金を支払う)プログラムを通じて共有されており、シスコに修正パッチの発行を促しています。

今すぐパッチを

Seeley氏はCBRに危険な欠陥を悪用するのは簡単だとコメントしており、ソフトウェアアップデートによりパッチの適用が急務です。 それを実証するために、彼が大規模な監査の中で発見した欠陥のエクスプロイト(脆弱性を検証するための実証コード)をリリースし、Bug Bountyプログラムを通じて責任を持って共有しています。 「適切なソースコードのレビューと実行時のデバッグなど、監査に1か月程掛かった。」と彼はCBRで述べています。 「しかし脆弱性検証は簡単です。」

シスコのセキュリティアドバイザリとZero Day Initiativeでは、欠陥のラベルは異なっています。シスコのクリティカル アップデートで対処された3つの脆弱性は、重大脆弱性スコアリングシステム(CVSS)で9.8のスコアが付けられています。

– shutterstock

CVE-2019-15975、CVE-2019-15976の2つの脆弱性は、DCNMがREST APIおよびSOAP APIがインストールされたエンドポイント間でスタティックな暗号化キーを共有していることが原因です。3つ目のCVE-2019-15977は、ウェブベースの管理インターフェースでスタティッククレデンシャルを使用することで引き起こされます。

高レベルの脆弱性は7つあり、そのうち2つはSQLインジェクションの欠陥によるもの、3つはパス・トラバーサルのバグによるもの、2つはコマンドインジェクションの条件によるものです。それはXML external entity(XXE)読み込みアクセスの脆弱性とJBoss EAPの不正アクセスの脆弱性に基づく2つの中レベルのバグを残します。

なぜ(@mr_meとしても知られている)Steven Seeley氏は、DCNMの重要なセキュリティ監査に乗り出したのでしょうか?今年の初めにCisco Talosセキュリティチームが長い面接プロセスを経たのちに、Seeley氏の採用を断った事と関係があるかもしれません。

「8度もの面接」を要求後、Talosは彼の不採用を通知しました。その後、Seeley氏は脆弱性を見つけ、その成果をツイートしたという訳です。ツイッター上で彼はのちにすべての面接は正式な対面面接ではなかったことを明らかにしています。「それはスカイプでのカジュアルなチャットのようで、テクニカルチームはとてもフレンドリーだった。しかし、私は時間の浪費に耐えられなかった。」

Data Center Dynamics

原文はこちら

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください