プラットフォーム
cisco
コンポーネント
cisco-aci-multi-site-orchestrator
Cisco ACI Multi-Site Orchestrator (MSO) にインストールされた Application Services Engine の特定のAPIエンドポイントにおいて、認証バイパスの脆弱性が確認されています。この脆弱性は、APIエンドポイントにおける不適切なトークン検証が原因です。攻撃者は、細工されたリクエストを送信することで、影響を受けるMSOおよび管理対象のCisco Application Policy Infrastructureに認証をバイパスできる可能性があります。影響を受けるバージョンは特定されていません。
この脆弱性を悪用すると、認証されていない攻撃者は、Cisco ACI Multi-Site Orchestrator (MSO) のAPIに管理者権限でアクセスできるようになります。これにより、ネットワーク構成の変更、機密データの窃取、さらにはネットワーク全体の制御権の奪取といった深刻な被害が発生する可能性があります。攻撃者は、取得した管理者権限のトークンを使用して、MSOが管理する他のデバイスにも不正にアクセスし、攻撃範囲を拡大する可能性があります。この脆弱性は、認証システムの根本的な欠陥を突くものであり、影響は甚大です。
この脆弱性は、CISA KEV (Known Exploited Vulnerabilities) カタログに追加される可能性があります。現時点では、公開されているPoC (Proof of Concept) は確認されていませんが、認証バイパスの脆弱性は悪用が容易であるため、攻撃者による悪用が懸念されます。Ciscoは、この脆弱性に関する情報を積極的に公開しており、セキュリティコミュニティからの情報提供も期待されます。
Organizations heavily reliant on Cisco ACI Multi-Site Orchestrator for network automation and management are at significant risk. Specifically, environments with exposed API endpoints or those lacking robust access controls are particularly vulnerable. Shared hosting environments utilizing ACI MSO could also be affected, as a compromised tenant could potentially exploit this vulnerability to gain access to other tenants' resources.
• linux / server: Monitor system logs (journalctl) for unusual API requests or authentication attempts. Look for patterns indicative of token manipulation.
journalctl -u aci-ms-orchestrator -f | grep -i "authentication bypass"• cisco: Use Cisco's security monitoring tools to detect unauthorized API access attempts. Review Cisco Security Advisories for specific detection signatures. • generic web: Monitor network traffic for requests to the vulnerable API endpoint. Use intrusion detection systems (IDS) to identify suspicious patterns. • generic web: Check access logs for unusual user agent strings or IP addresses attempting to access the API endpoint.
disclosure
エクスプロイト状況
EPSS
1.96% (83% パーセンタイル)
CVSS ベクトル
Ciscoは、この脆弱性を修正した最新バージョンへのアップグレードを推奨しています。影響を受ける環境では、速やかにアップグレードを実施してください。アップグレードが困難な場合は、APIエンドポイントへのアクセスを制限するファイアウォールルールや、WAF (Web Application Firewall) の設定による緩和策を検討してください。また、不正なアクセスを検知するためのログ監視を強化し、異常なアクティビティを早期に発見できるようにする必要があります。アップグレード後、APIエンドポイントへのアクセスを検証し、認証が正常に機能していることを確認してください。
Cisco ACI Multi-Site Orchestrator ソフトウェアを脆弱ではないバージョンにアップデートしてください。詳細と具体的なアップデート手順については、Cisco advisory を参照してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2021-1388は、Cisco ACI Multi-Site OrchestratorのAPIエンドポイントにおける認証バイパスの脆弱性です。攻撃者はこの脆弱性を悪用し、管理者権限を取得できる可能性があります。
Cisco ACI Multi-Site Orchestratorを導入している場合は、影響を受ける可能性があります。影響を受けるバージョンは特定されていませんが、速やかに最新バージョンへのアップグレードを検討してください。
Ciscoは、最新バージョンへのアップグレードを推奨しています。アップグレードが困難な場合は、APIエンドポイントへのアクセス制限やログ監視の強化などの緩和策を検討してください。
現時点では、公開されているPoCは確認されていませんが、認証バイパスの脆弱性は悪用が容易であるため、攻撃者による悪用が懸念されます。
Ciscoの公式アドバイザリは、Cisco Security Advisoriesのウェブサイトで確認できます。