お客様各位
拝啓、貴社ますますご清祥のこととお慶び申し上げます。
平素は格別のご高配を賜り、厚くお礼申し上げます。
Cisco社より、脆弱性(CVE-2024-20353、CVE-2024-20358、CVE-2024-20359)が発表されております。本脆弱性の影響を受けるバージョンをご利用のお客様については、以下の対策へのご対応をお願いいたします。ご不明な点がありましたら、担当エンジニア、営業またはサポート窓口までご連絡をお願いいたします。
①CVE-2024-20353
■概要
Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアおよびCisco Firepower Threat Defense(FTD)ソフトウェアの管理およびVPN Webサーバの脆弱性により、認証されていないリモートの攻撃者がデバイスを予期せずリロードし、サービス拒否(DoS)状態を引き起こす可能性があります。
■メーカーサイト(英語)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-websrvs-dos-X8gNucD2
■CVSS
8.6
■修正済みバージョン
9.18.4.22
②CVE-2024-20358
■概要
Cisco ASAソフトウェアおよびCisco Firepower Threat Defense(FTD)ソフトウェアで使用可能なCisco適応型セキュリティアプライアンス(ASA)復元機能の脆弱性により、認証されたローカルの攻撃者が、ルートレベルの権限を使用して基盤となるオペレーティングシステムで任意のコマンドを実行する可能性があります。この脆弱性をエクスプロイトするには、管理者レベルの権限が必要です。
■メーカーサイト(英語)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-cmd-inj-ZJV8Wysm
■CVSS
6.0
■修正済みバージョン
9.18.4.22
③CVE-2024-20359
■概要
VPNクライアントとプラグインのプリロードを可能にし、Cisco適応型セキュリティアプライアンス(ASA)ソフトウェアおよびCisco Firepower Threat Defense(FTD)ソフトウェアで利用可能だったレガシー機能の脆弱性により、認証されたローカルの攻撃者がルートレベルの権限で任意のコードを実行する可能性があります。この脆弱性をエクスプロイトするには、管理者レベルの権限が必要です。
■メーカーサイト(英語)
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-persist-rce-FLsNXF4h
■CVSS
6.0
■修正済みバージョン
9.18.4.22
なお脆弱性の詳細については攻撃手法を推測できる可能性がありユーザ様への影響を考慮して
基本的に先述の情報以外は公開されておりません。
弊社においても脆弱性に関する詳細な情報は保持しておりません。
サポート窓口に脆弱性の詳細をお問い合わせいただいた場合でも、原則として回答をお断りしております。
大変恐れりいますが、何卒ご理解ご協力いただけますようお願い申し上げます。
以上、宜しくお願いいたします。
