米Cisco Systemsは現地時間1月29日、「Cisco Adaptive Security Appliance(ASA)」ソフトウェアの脆弱性を修正するパッチをリリースした。回避策は存在せず、同社は迅速なアップデートをユーザーに呼び掛けている。
Ciscoは脆弱性の影響度を極めて深刻と評価している
同社によると脆弱性は、SSL VPN機能に関するもので、Cisco ASAを搭載したアプライアンス機器などの製品が影響を受ける。製品でwebvpn機能が有効になっている場合、攻撃者が複数の細工したXMLパケットをwebvpnで設定されたインターフェースに送信することで悪用可能になる。これにより、リモートの攻撃者が認証を経ることなく機器を乗っ取ることができるとしている。
同社では脆弱性の影響度を「Crirical」に指定。共通脆弱性評価システム(CVSS)バージョン3を用いた深刻度評価は最大の10.0としている。影響を受ける製品は下記の通り。
- 3000 Series Industrial Security Appliance(ISA)
- ASA 5500 Series Adaptive Security Appliances
- ASA 5500-X Series Next-Generation Firewalls
- ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
- ASA 1000V Cloud Firewall
- Adaptive Security Virtual Appliance(ASAv)
- Firepower 2100 Series Security Appliance
- Firepower 4110 Security Appliance
- Firepower 9300 ASA Security Module
- Firepower Threat Defense Software(FTD)
