Steven Seeley氏がCisco Data Center Network Managerの120を超える欠陥を指摘
シスコは、セキュリティ研究者であるSteven Seeley氏による指摘を受け、Data Center Network Manager(DCNM)製品の脆弱性スタックに対処する6つのセキュリティアドバイザリを発行しました。
この欠陥は、広く使用されているネットワークインフラストラクチャ製品の「スタティックな」(=ハードコードされた)暗号化キーなどの問題を不正利用します。 3つの根本的な欠陥により、リモートの攻撃者は管理者権限を取得し、デバイスを乗っ取る可能性があります。 Seeley氏は、彼のSource Inciteブログ上で120個の欠陥を挙げています。これらはTrend MicroのZero Day InitiativeのBug Bounty(=バグや脆弱性を報告すれば報奨金を支払う)プログラムを通じて共有されており、シスコに修正パッチの発行を促しています。
今すぐパッチを
Seeley氏はCBRに危険な欠陥を悪用するのは簡単だとコメントしており、ソフトウェアアップデートによりパッチの適用が急務です。 それを実証するために、彼が大規模な監査の中で発見した欠陥のエクスプロイト(脆弱性を検証するための実証コード)をリリースし、Bug Bountyプログラムを通じて責任を持って共有しています。 「適切なソースコードのレビューと実行時のデバッグなど、監査に1か月程掛かった。」と彼はCBRで述べています。 「しかし脆弱性検証は簡単です。」
シスコのセキュリティアドバイザリとZero Day Initiativeでは、欠陥のラベルは異なっています。シスコのクリティカル アップデートで対処された3つの脆弱性は、重大脆弱性スコアリングシステム(CVSS)で9.8のスコアが付けられています。
CVE-2019-15975、CVE-2019-15976の2つの脆弱性は、DCNMがREST APIおよびSOAP APIがインストールされたエンドポイント間でスタティックな暗号化キーを共有していることが原因です。3つ目のCVE-2019-15977は、ウェブベースの管理インターフェースでスタティッククレデンシャルを使用することで引き起こされます。
高レベルの脆弱性は7つあり、そのうち2つはSQLインジェクションの欠陥によるもの、3つはパス・トラバーサルのバグによるもの、2つはコマンドインジェクションの条件によるものです。それはXML external entity(XXE)読み込みアクセスの脆弱性とJBoss EAPの不正アクセスの脆弱性に基づく2つの中レベルのバグを残します。
なぜ(@mr_meとしても知られている)Steven Seeley氏は、DCNMの重要なセキュリティ監査に乗り出したのでしょうか?今年の初めにCisco Talosセキュリティチームが長い面接プロセスを経たのちに、Seeley氏の採用を断った事と関係があるかもしれません。
「8度もの面接」を要求後、Talosは彼の不採用を通知しました。その後、Seeley氏は脆弱性を見つけ、その成果をツイートしたという訳です。ツイッター上で彼はのちにすべての面接は正式な対面面接ではなかったことを明らかにしています。「それはスカイプでのカジュアルなチャットのようで、テクニカルチームはとてもフレンドリーだった。しかし、私は時間の浪費に耐えられなかった。」
Data Center Dynamics
関連記事一覧
米ユタ州の山麓で奇妙な太陽光発電アンテナが見つかる...
NEC、光海底ケーブル敷設船の長期チャーター契約を英企...
PLDTが2,000基のタワーを売却の可能性
Ofcom、ファクス廃止の計画を発表
中国、4G/5Gの拡張を加速、2030年までに6Gを目指す
簡単に組み立てられるモジュラー型アイルコンテインメ...
Skylo、インマルサット/ソフトバンクと提携、衛星を利...
NICT、標準外径の光ファイバーで55モード多重・毎秒1.5...
富士通、オーストラリアのデータセンター4施設をTier ...
Salesforceで大規模障害(2021/5/12)
ラトビアのLMT、バルト海で5Gの試験運用を完了
データセンターインフラ運用の省人化と省エネ化を支援...
Appleで障害2日目、理由についての情報は提供されず
インディゴ海底ケーブル、シドニーへ接続完了
DE-CIX、米国バージニア州リッチモンドにインターネッ...
コメント ( 0 )
トラックバックは利用できません。
この記事へのコメントはありません。