シスコシステムズは、ハッカーによるシステム完全制御を可能にする攻撃を軽減するため、エンタープライズ向けテレフォニー製品「Unified Communications Manager(Unified CM)」のセキュリティパッチをリリースしました。また、侵入防止システム(IPS)ソフトウェアにおけるサービス拒否(DoS)攻撃の脆弱性も修正しました。
Cisco によれば、Cisco Unified CM は、企業のテレフォニー機能を IP 電話、メディア処理デバイス、VoIP ゲートウェイ、およびマルチメディア アプリケーションに拡張するコール処理コンポーネントです。
6月初旬、フランスのセキュリティ コンサルティング会社 Lexfo の研究者らは、複数の「ブラインド」SQL インジェクション、コマンド インジェクション、権限昇格の脆弱性を連鎖させて Cisco Unified CM サーバーを侵害する攻撃を公に実演しました。
また、デモンストレーションでは、Cisco Unified CM のすべてのバージョンが、静的なハードコードされた暗号化キーを使用して、ユーザーの認証情報など、サーバーのデータベースに保存されている機密データを暗号化していることも明らかになりました。
「最初のブラインドSQLインジェクションにより、認証されていないリモート攻撃者がハードコードされた暗号鍵を使ってローカルユーザーアカウントを取得し、復号することが可能になります。これにより、その後の認証されたブラインドSQLインジェクションが可能になります」とシスコは水曜日のセキュリティアドバイザリで述べています。
「コマンドインジェクションと権限昇格の脆弱性を悪用されると、認証されたリモート攻撃者が昇格した権限で基盤となるオペレーティングシステム上で任意のコマンドを実行できる可能性がある」と同社は述べた。
Cisco は、「cmterm-CSCuh01051-2.cop.sgn」と呼ばれる Cisco オプション パッケージ (COP) の形式でセキュリティ パッチをリリースしました。このパッチは、最初のブラインド SQL インジェクションを可能にする脆弱性など、攻撃に使用されたいくつかの脆弱性に対処します。
顧客は、Cisco の Web サイトからファイルをダウンロードし、同社が Unified CM ソフトウェアの新しいバージョンおよびパッチ適用バージョンをリリースするまでの一時的な解決策としてインストールすることができます。
シスコによると、COPファイルは初期の攻撃ベクトルを緩和し、記録されている攻撃対象領域を縮小する。しかし、攻撃に利用された他のいくつかの脆弱性は未修正のままとなっている。
同社によれば、残りの脆弱性は現在も調査中で、回避策はまだないという。
Cisco Unified CM バージョン 7.1.x、8.5.x、8.6.x、9.0.x、および 9.1.x は、公開されている攻撃の影響を受けます。バージョン 8.0 も影響を受けますが、現在はサポートされていません。このバージョンをご利用のお客様は、サポート対象バージョンへのアップグレードについて、シスコまでお問い合わせください。
その他の潜在的な脅威
同社は、攻撃に使用された脆弱性のうち、1つ以上が同社の他の音声製品にも影響している可能性についても調査を進めています。対象となる製品は、Cisco Emergency Responder、Cisco Unified Contact Center Express、Cisco Unified Customer Voice Portal、Cisco Unified Presence Server/Cisco IM and Presence Service、およびCisco Unity Connectionです。
シスコは水曜日、一部の侵入防止システム(IPS)製品で実行されているソフトウェアに影響を及ぼす複数のサービス拒否脆弱性についても顧客に通知した。
これらの脆弱性の 1 つまたは複数の影響を受ける製品には、Cisco ASA 5500-X シリーズ IPS セキュリティ サービス プロセッサ (IPS SSP) ソフトウェアおよびハードウェア モジュール、Cisco IPS 4500 シリーズ センサー、Cisco IPS 4300 シリーズ センサー、Cisco IPS ネットワーク モジュール拡張 (NME)、および Cisco Catalyst 6500 シリーズ侵入検知システム (IDSM-2) モジュールがあります。
同社は、Cisco IDSM-2を除くこれらの製品向けに、Cisco IPSソフトウェアのパッチ適用版をリリースしました。Cisco IDSM-2に影響する脆弱性に対する回避策も提供されました。
