2023年5月19日 / 最終更新日時 : 2023年5月19日 テクバン ネットワークソリューション担当 Cisco

Cisco Small Business シリーズ スイッチのバッファ オーバーフローの脆弱性(CVE-2023-20159~161、189)

こんにちは。ネットワークソリューション特集 編集部です。
今回は、Cisco Small Business シリーズ スイッチのバッファ オーバーフローの脆弱性(CVE-2023-20159~161、189)についてお知らせします。

メーカリリース、対象OS

複数の脆弱性が見つかっています。

  • 対象製品
    • 250 シリーズ スマート スイッチ
    • 350 シリーズ マネージド スイッチ
    • 350X シリーズ スタッカブル マネージド スイッチ
    • 550X シリーズ スタッカブル マネージド スイッチ
    • Business 250 シリーズ スマート スイッチ
    • Business 350 シリーズ マネージド スイッチ
    • Small Business 200 シリーズ スマート スイッチ
    • Small Business 300 シリーズ マネージド スイッチ
    • Small Business 500 シリーズ スタッカブル マネージド スイッチ

220 シリーズスマートスイッチ、Business 220 シリーズスマートスイッチは影響受けません。

  • 250 シリーズ スマート スイッチ、350 シリーズ マネージド スイッチ、350X シリーズ スタッカブル マネージド スイッチ、および 550X シリーズ スタッカブル マネージド スイッチ脆弱性の影響を受けるバージョン
    • 2.5.9.15 以前
  • Business 250 シリーズ スマート スイッチおよび Business 350 シリーズ マネージド スイッチ脆弱性の影響を受けるバージョン
    • 3.3.0.15 以前

Cisco
 
Cisco Security Advisory: Cisco Small Business Series Switches Buffer Overflow...
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sg-web-multi-S9g4Nkgv
Multiple vulnerabilities in the web-based user interface of certain Cisco Small Business Series Switches could allow an unauthenticated, remote attacker to cause a denial of service (DoS) condition or execute arbitrary code with root privileges on an affected device. These vulnerabilities are due to improper validation of requests that are sent to the web interface.For more information about these vulnerabilities, see the Details section of this advisory.Cisco has released software updates th...

クリティカル脆弱性の影響

今回の脆弱性でCriticalレベルのものは下記になります。Highレベル以下のものはメーカページを参照ください。

  • 重要度:Critical
  • CVSSv3スコア:9.8

  • CVE-2023-20159: Cisco Small Business シリーズ スイッチのスタック バッファ オーバーフローの脆弱性

Cisco Small Business シリーズ スイッチの Web ベースのユーザ インターフェイスの脆弱性により、認証されていないリモート攻撃者が影響を受けるデバイス上で任意のコードを実行する可能性があります。

  • CVE-2023-20160: Cisco Small Business シリーズ スイッチの未認証 BSS バッファ オーバーフローの脆弱性

Cisco Small Business シリーズ スイッチの Web ベースのユーザ インターフェイスの脆弱性により、認証されていないリモート攻撃者が影響を受けるデバイス上で任意のコードを実行する可能性があります。

  • CVE-2023-20161: Cisco Small Business シリーズ スイッチの未認証スタック バッファ オーバーフローの脆弱性

Cisco Small Business シリーズ スイッチの Web ベースのユーザ インターフェイスの脆弱性により、認証されていないリモート攻撃者が影響を受けるデバイス上で任意のコードを実行する可能性があります。

  • CVE-2023-20189: Cisco Small Business シリーズ スイッチの未認証スタック バッファ オーバーフローの脆弱性

Cisco Small Business シリーズ スイッチの Web ベースのユーザ インターフェイスの脆弱性により、認証されていないリモート攻撃者が影響を受けるデバイス上で任意のコードを実行する可能性があります。

対策

修正されたOSにバージョンアップが必要です。

  • 250 シリーズ スマート スイッチ、350 シリーズ マネージド スイッチ、350X シリーズ スタッカブル マネージド スイッチ、および 550X シリーズ スタッカブル マネージド スイッチ
    • 2.5.9.16
  • Business 250 シリーズ スマート スイッチおよび Business 350 シリーズ マネージド スイッチ
    • 3.3.0.16

既にサポートが終了している製品(Cisco Small Business 200 シリーズ スマート スイッチ、Small Business 300 シリーズ マネージド スイッチ、および Small Business 500 シリーズ スタッカブル マネージド スイッチ)に関しては修正バージョンの提供はありません。

まとめ

  • Cisco SMB向けスイッチに複数の脆弱性が出ている
  • サポート終了製品の修正バージョンは提供されない
  • POCコードあり

今回はCisco Small Business シリーズ スイッチのバッファ オーバーフローの脆弱性(CVE-2023-20159~161、189)についてお知らせしました。

関連記事:

HPE ArubaOSに存在する複数のセキュリティ脆弱性(CVE-2021-3712、CVE-2023-22747~CVE-2023-22778) HPE InstantOS および ArubaOS 10に存在する複数のセキュリティ脆弱性(CVE-2023-22779~CVE-2023-22786) Fortigate 管理インターフェイスのバッファ アンダーライト  (「バッファ アンダーフロー」) の脆弱性(CVE-2023-25610) Log4j 脆弱性対応(CVE-2021-44228)の当社取り扱い製品(NW製品)状況
カテゴリー
Cisco
タグ
Fortigate

前の記事

Fortigateでのスタティックルート最大設定値制限
2023年5月18日
Meraki

次の記事

Meraki MXでクライアントVPN(L2TP/IPSec)を設定してみた
2023年5月23日