Tenable ブログ
ブログ通知を受信する
複数のCisco製品にわたる緊急な脆弱性、CVE-2019-1913のエクスプロイトコードがリリースされる
シスコは、Integrated Management Controller(IMC)およびUnified Computing System(UCS)Directorのアドバイザリを新しく公開し、Small Business 220シリーズスマートスイッチのアドバイザリを更新しました。シスコは、エクスプロイトコードはすでに公開されていると述べています。
背景
8月21日、シスコは複数の製品に対する新しいアドバイザリを計27公開し、計6つのアドバイザリを更新しました。
分析
12のアドバイザリは、Cisco Unified Computing System(UCS)CシリーズラックサーバーおよびSシリーズストレージサーバーの管理に使用されるCisco Integrated Management Controller(IMC)の脆弱性に対処します。6つのアドバイザリは、Cisco IMC Supervisor、Cisco UCS Director、およびCisco UCS Director Express for Big Dataに影響する脆弱性に関するものです。6つのアドバイザリのうち4つは、シスコにより「緊急」と評価されています。
| CVE | 製品 | 影響 | タイプ | CVSSv3(ベンダー) | 深刻度 |
|---|---|---|---|---|---|
| CVE-2019-1938 | Cisco UCS Director and Cisco UCS Director Express for Big Data API | 認証バイパス | 非認証 | 9.8 | 緊急 |
| CVE-2019-1935 | Cisco IMC Supervisor, Cisco UCS Director, and Cisco UCS Director Express for Big Data | ユーザーのデフォルト認証情報 | 非認証 | 9.8 | 緊急 |
| CVE-2019-1937 | Cisco IMC Supervisor, Cisco UCS Director, and Cisco UCS Director Express for Big Data | 認証バイパス | 非認証 | 9.8 | 緊急 |
| CVE-2019-1974 | Cisco IMC Supervisor, Cisco UCS Director, and Cisco UCS Director Express for Big Data | 認証バイパス | 非認証 | 9.8 | 緊急 |
| CVE-2019-12634 | Cisco IMC Supervisor, Cisco UCS Director, and Cisco UCS Director Express for Big Data | コマンドインジェクション | 非認証 | 8.6 | 高 |
| CVE-2019-1936 | Cisco IMC Supervisor, Cisco UCS Director, and Cisco UCS Director Express for Big Data | コマンドインジェクション | 認証あり | 7.2 | 高 |
6件の脆弱性のうち5件は、認証されていないリモートの攻撃者によって悪用され、特別に細工されたリクエストが脆弱なシステムに送信される可能性があります。CVE-2019-1936を突くと、認証されたリモートの攻撃者は、脆弱な管理インターフェイスにログインできます。CVE-2019-1935では、攻撃者は「scpuser」アカウントを使用してこの脆弱性を悪用する可能性があります。シスコによると、このデフォルトアカウントには「不正な許可設定」があり、「文書化されていないデフォルトパスワード」を使用して脆弱なシステムにログインすることが可能になります。Tenableは、scpuserアカウントを使用したCVE-2019-1936の悪用をまだ確認していません。
シスコは今月、複数のIMCの脆弱性に対するパッチもリリースしています。
| CVE | 影響 | CVSSv3 | 深刻度 |
|---|---|---|---|
| CVE-2019-1907 | 権限昇格 | 8.8 | 高 |
| CVE-2019-1865 | コマンドインジェクション | 8.8 | 高 |
| CVE-2019-1864 | コマンドインジェクション | 8.8 | 高 |
| CVE-2019-1900 | サービス拒否 | 7.5 | 高 |
| CVE-2019-1908 | 情報開示 | 7.5 | 高 |
| CVE-2019-1896 | コマンドインジェクション | 7.2 | 高 |
| CVE-2019-1885 | コマンドインジェクション | 7.2 | 高 |
| CVE-2019-1634 | コマンドインジェクション | 7.2 | 高 |
| CVE-2019-1850 | コマンドインジェクション | 7.2 | 高 |
| CVE-2019-1871 | バッファオーバーフロー | 7.2 | 高 |
| CVE-2019-1883 | コマンドインジェクション | 7.0 | 高 |
| CVE-2019-1863 | 権限昇格 | 6.5 | 高 |
これらの新しいアドバイザリに加えて、シスコは以前に公開された複数のアドバイザリの更新をリリースしました。これには、8月6日に報告されたCisco Small Business 220シリーズスマートスイッチの脆弱性の更新が含まれています。
| CVE | 影響 | CVSSv3 | Tenable VPR | 深刻度 |
|---|---|---|---|---|
| CVE-2019-1913 | リモートコード実行 | 9.8 | 8.9 | 緊急 |
| CVE-2019-1912 | 認証バイパス | 9.1 | 8.3 | 緊急 |
| CVE-2019-1914 | コマンドインジェクション | 7.2 | 8.6 | 中 |
220シリーズスマートスイッチの3件の脆弱性のうち2件は「緊急」と評価されています。これらの脆弱性は、デバイスのWeb管理インターフェイス内に存在します。リモートの攻撃者は、脆弱なインターフェイスに特別に細工されたリクエストを送信し、任意のコードを実行したり(CVE-2019-1913)、デバイス構成を変更したりする可能性があります(CVE-2019-1912)。 CVE-2019-1914では、攻撃者が脆弱なインターフェイスで認証され、レベル15の権限を持っていることが要求されます。
さらに、シスコは、Thrangrycatとして知られるセキュアブートハードウェアの改ざんの脆弱性であるCVE-2019-1649のアドバイザリを更新し、脆弱な製品を追加しました。
概念実証
シスコのProduct Security Incident Response Team(PSIRT)は、Small Business 220シリーズスマートスイッチの更新されたアドバイザリで、これらのデバイスのエクスプロイトコードが公開されていることを認識していると述べています。ただし、このブログ記事が公開された時点で、Tenableはこれらの脆弱性の概念実証(PoC)を確認していません。
ソリューション
シスコは、影響を受ける各製品の更新プログラムをリリースしました。影響を受けるバージョンと関連する修正バージョンは、アドバイザリページに記載されています。ユーザーはこれらの更新プログラムを早急に入手してインストールする必要があります。
影響を受けているシステムの特定
この脆弱性を識別するための Tenable のプラグインのリストは、リリースされた時点でこちらに表示されます。
詳細情報を入手する
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。
今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。
関連記事
Securing Financial Data in the Cloud: How Tenable Can Help
November 4, 2024Preventing data loss, complying with regulations, automating workflows and managing access are four key challenges facing financial institutions. Learn how Tenable can help.
Cybersecurity Snapshot: Apply Zero Trust to Critical Infrastructure’s OT/ICS, CSA Advises, as Five Eyes Spotlight Tech Startups’ Security
November 1, 2024Should critical infrastructure orgs boost OT/ICS systems’ security with zero trust? Absolutely, the CSA says. Meanwhile, the Five Eyes countries offer cyber advice to tech startups. Plus, a survey finds “shadow AI” weakening data governance. And get the latest on MFA methods, CISO trends and Uncle Sam’s AI strategy.
FY 2024 State and Local Cybersecurity Grant Program Adds CISA KEV as a Performance Measure
October 31, 2024The CISA Known Exploited Vulnerabilities (KEV) catalog and enhanced logging guidelines are among the new measurement tools added for the 2024 State and Local Cybersecurity Grant Program.