Tenable ブログ
ブログ通知を受信する
複数のCisco製品にわたる緊急な脆弱性、CVE-2019-1913のエクスプロイトコードがリリースされる
シスコは、Integrated Management Controller(IMC)およびUnified Computing System(UCS)Directorのアドバイザリを新しく公開し、Small Business 220シリーズスマートスイッチのアドバイザリを更新しました。シスコは、エクスプロイトコードはすでに公開されていると述べています。
背景
8月21日、シスコは複数の製品に対する新しいアドバイザリを計27公開し、計6つのアドバイザリを更新しました。
分析
12のアドバイザリは、Cisco Unified Computing System(UCS)CシリーズラックサーバーおよびSシリーズストレージサーバーの管理に使用されるCisco Integrated Management Controller(IMC)の脆弱性に対処します。6つのアドバイザリは、Cisco IMC Supervisor、Cisco UCS Director、およびCisco UCS Director Express for Big Dataに影響する脆弱性に関するものです。6つのアドバイザリのうち4つは、シスコにより「緊急」と評価されています。
| CVE | 製品 | 影響 | タイプ | CVSSv3(ベンダー) | 深刻度 |
|---|---|---|---|---|---|
| CVE-2019-1938 | Cisco UCS Director and Cisco UCS Director Express for Big Data API | 認証バイパス | 非認証 | 9.8 | 緊急 |
| CVE-2019-1935 | Cisco IMC Supervisor, Cisco UCS Director, and Cisco UCS Director Express for Big Data | ユーザーのデフォルト認証情報 | 非認証 | 9.8 | 緊急 |
| CVE-2019-1937 | Cisco IMC Supervisor, Cisco UCS Director, and Cisco UCS Director Express for Big Data | 認証バイパス | 非認証 | 9.8 | 緊急 |
| CVE-2019-1974 | Cisco IMC Supervisor, Cisco UCS Director, and Cisco UCS Director Express for Big Data | 認証バイパス | 非認証 | 9.8 | 緊急 |
| CVE-2019-12634 | Cisco IMC Supervisor, Cisco UCS Director, and Cisco UCS Director Express for Big Data | コマンドインジェクション | 非認証 | 8.6 | 高 |
| CVE-2019-1936 | Cisco IMC Supervisor, Cisco UCS Director, and Cisco UCS Director Express for Big Data | コマンドインジェクション | 認証あり | 7.2 | 高 |
6件の脆弱性のうち5件は、認証されていないリモートの攻撃者によって悪用され、特別に細工されたリクエストが脆弱なシステムに送信される可能性があります。CVE-2019-1936を突くと、認証されたリモートの攻撃者は、脆弱な管理インターフェイスにログインできます。CVE-2019-1935では、攻撃者は「scpuser」アカウントを使用してこの脆弱性を悪用する可能性があります。シスコによると、このデフォルトアカウントには「不正な許可設定」があり、「文書化されていないデフォルトパスワード」を使用して脆弱なシステムにログインすることが可能になります。Tenableは、scpuserアカウントを使用したCVE-2019-1936の悪用をまだ確認していません。
シスコは今月、複数のIMCの脆弱性に対するパッチもリリースしています。
| CVE | 影響 | CVSSv3 | 深刻度 |
|---|---|---|---|
| CVE-2019-1907 | 権限昇格 | 8.8 | 高 |
| CVE-2019-1865 | コマンドインジェクション | 8.8 | 高 |
| CVE-2019-1864 | コマンドインジェクション | 8.8 | 高 |
| CVE-2019-1900 | サービス拒否 | 7.5 | 高 |
| CVE-2019-1908 | 情報開示 | 7.5 | 高 |
| CVE-2019-1896 | コマンドインジェクション | 7.2 | 高 |
| CVE-2019-1885 | コマンドインジェクション | 7.2 | 高 |
| CVE-2019-1634 | コマンドインジェクション | 7.2 | 高 |
| CVE-2019-1850 | コマンドインジェクション | 7.2 | 高 |
| CVE-2019-1871 | バッファオーバーフロー | 7.2 | 高 |
| CVE-2019-1883 | コマンドインジェクション | 7.0 | 高 |
| CVE-2019-1863 | 権限昇格 | 6.5 | 高 |
これらの新しいアドバイザリに加えて、シスコは以前に公開された複数のアドバイザリの更新をリリースしました。これには、8月6日に報告されたCisco Small Business 220シリーズスマートスイッチの脆弱性の更新が含まれています。
| CVE | 影響 | CVSSv3 | Tenable VPR | 深刻度 |
|---|---|---|---|---|
| CVE-2019-1913 | リモートコード実行 | 9.8 | 8.9 | 緊急 |
| CVE-2019-1912 | 認証バイパス | 9.1 | 8.3 | 緊急 |
| CVE-2019-1914 | コマンドインジェクション | 7.2 | 8.6 | 中 |
220シリーズスマートスイッチの3件の脆弱性のうち2件は「緊急」と評価されています。これらの脆弱性は、デバイスのWeb管理インターフェイス内に存在します。リモートの攻撃者は、脆弱なインターフェイスに特別に細工されたリクエストを送信し、任意のコードを実行したり(CVE-2019-1913)、デバイス構成を変更したりする可能性があります(CVE-2019-1912)。 CVE-2019-1914では、攻撃者が脆弱なインターフェイスで認証され、レベル15の権限を持っていることが要求されます。
さらに、シスコは、Thrangrycatとして知られるセキュアブートハードウェアの改ざんの脆弱性であるCVE-2019-1649のアドバイザリを更新し、脆弱な製品を追加しました。
概念実証
シスコのProduct Security Incident Response Team(PSIRT)は、Small Business 220シリーズスマートスイッチの更新されたアドバイザリで、これらのデバイスのエクスプロイトコードが公開されていることを認識していると述べています。ただし、このブログ記事が公開された時点で、Tenableはこれらの脆弱性の概念実証(PoC)を確認していません。
ソリューション
シスコは、影響を受ける各製品の更新プログラムをリリースしました。影響を受けるバージョンと関連する修正バージョンは、アドバイザリページに記載されています。ユーザーはこれらの更新プログラムを早急に入手してインストールする必要があります。
影響を受けているシステムの特定
この脆弱性を識別するための Tenable のプラグインのリストは、リリースされた時点でこちらに表示されます。
詳細情報を入手する
Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。
現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。
今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。
関連記事
Kinsing Malware Hides Itself as a Manual Page and Targets Cloud Servers
May 16, 2024Tenable Cloud Security Research Team has recently discovered that Kinsing malware, known for targeting Linux-based cloud infrastructures, exploits Apache Tomcat servers with new advanced stealth techniques. Explore our analysis and the indicators of compromise in this report.
Microsoft’s May 2024 Patch Tuesday Addresses 59 CVEs (CVE-2024-30051, CVE-2024-30040)
May 14, 2024Microsoft addresses 59 CVEs in its May 2024 Patch Tuesday release with one critical vulnerability and three zero-day vulnerabilities, two of which were exploited in the wild.
Tenable Cloud Security Study Reveals a Whopping 95% of Surveyed Organizations Suffered a Cloud-Related Breach Over an 18-Month Period
May 14, 2024The finding from the Tenable 2024 Cloud Security Outlook study is a clear sign of the need for proactive and robust cloud security. Read on to learn more about the study’s findings, including the main challenges cloud security teams face, their strategies for better protecting their cloud infrastructure and the tools they use to measure success.
