Cisco ExpresswayのCSRF

CSRFは、クロスサイトリクエストフォージェリです。
CiscoのExpresswayシリーズにこのCSRFの脆弱性が確認されています。

CSRFは、Webアプリケーションの「セッション管理」機能に潜む、セキュリティ上の欠陥を狙ったサイバー攻撃の一種です。
攻撃者はCSRFの脆弱性を悪用して、認証されたユーザーを騙して悪意のあるリンクをクリックさせたり、攻撃者が制御するWebページにアクセスさせたりして、新しいユーザーアカウントの追加、任意のコードの実行、管理者権限の取得などの望ましくないアクションを実行させる可能性があります。

CVE-2024-20252、CVE-2024-20254、CVE-2024-20255というCVE番号で案内されていて、いずれもCiscoExpresswayシリーズのクロスサイトリクエストフォージェリの脆弱性です。
これらについて、すでに対策済みの更新されたソフトウェアが提供されていますので、該当する製品を利用している環境では、速やかに更新を適用することがよさそうです。

ところで、Cisco Expresswayシリーズは、デバイスの種類や場所を問わずに簡単にコラボレーションができると謳われている、いわゆる遠隔地コミュニケーションシステムを構成するソフトウェア群です。
同様の狙いの製品に、Cisco TelePresence Video Communication Serverというものもありました。通称VCSです。
この製品は2023年12月31日に、すでにサポート終了日を迎えています。
このため、VCSに対してはこの脆弱性の対策を施した更新ソフトウェアは提供される予定がありません。
厳しい言い方になりますが、重大なリモートコードの実行を許してしまう欠陥に対策したければ、新しいものに買い替えてください、ということなのでしょうか。

利用中のソフトウェアに更新をタイムリーに適用していく、ということだけでなく、メンテナンスの提供されなくなったソフトウェアを継続利用してしまうことが発生しないように注意していくことも重要なのでしょう。

参考記事（外部リンク）：Cisco Expressway Series Cross-Site Request Forgery Vulnerabilities
sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-expressway-csrf-KnnZDMj3