【注意喚起】Cisco Security Manager の複数の脆弱性に関する注意喚起

Cisco Security Manager の複数の脆弱性に関する注意喚起がありました。

I. 概要
　2020年11月16日 (現地時間)、Cisco は Cisco Security Manager の複数の脆弱性 (CVE-2020-27125、
　CVE-2020-27130、CVE-2020-27131) に関する情報を公開しました。本脆弱性が悪用された場合、
　遠隔の第三者が当該製品上から任意のファイルをダウンロードしたり、任意の Java コードを管理者
　権限で実行したりする可能性があります。

　Cisco
　Cisco Security Manager Static Credential Vulnerability
　※CVE-2020-27125 のアドバイザリ

　Cisco
　Cisco Security Manager Path Traversal Vulnerability
　※CVE-2020-27130 のアドバイザリ

　Cisco
　Cisco Security Manager Java Deserialization Vulnerabilities
　※CVE-2020-27131 のアドバイザリ

　JPCERT/CC では、本脆弱性を実証するコードが公開されていることを確認しています。
　本脆弱性を悪用した攻撃に関する情報は確認できていませんが、今後、脆弱性を悪用する
　攻撃が行われる可能性があるため、対象となる製品を利用している場合には、アップデート
　の適用等を検討してください。詳細については、Cisco が提供する情報を参照してください。

II. 対象
　本脆弱性の影響を受けるバージョンは次のとおりです。

　CVE-2020-27125、CVE-2020-27130
　- Cisco Security Manager リリース 4.21 を含む前のバージョン
　CVE-2020-27131
　- Cisco Security Manager リリース 4.22 を含む前のバージョン

III. 対策
　Cisco より、本脆弱性を修正したバージョンが公開されています。十分なテストを実施の上、
　修正済みバージョンへ適用をご検討ください。なお、CVE-2020-27131に対する修正バージョンは、
　2020年11月18日時点で公開されていません。

** 更新: 2020年12月9日 ***************************************************************
　2020年12月7日 (米国時間)、Cisco より、CVE-2020-27131 に対する修正バージョンが
　公開されました。本脆弱性を悪用した攻撃に関する情報は確認できていませんが、今後、
　脆弱性を悪用する攻撃が行われる可能性があるため、対象となる製品を利用している場合
　には、修正バージョンの適用を検討してください。詳細については、Ciscoが提供する
　情報を参照してください。
***************************************************************************************

IV. 参考情報
　Cisco
　Cisco Security Manager Static Credential Vulnerability
　※CVE-2020-27125 のアドバイザリ

　Cisco
　Cisco Security Manager Path Traversal Vulnerability
　※CVE-2020-27130 のアドバイザリ

　Cisco
　Cisco Security Manager Java Deserialization Vulnerabilities
　※CVE-2020-27131 のアドバイザリ

　Tenable
　CVE-2020-27125, CVE-2020-27130, CVE-2020-27131: Pre-Authentication Vulnerabilities in Cisco Security Manager Disclosed

________
改訂履歴
2020-11-18 初版
2020-12-09 「III. 対策」の更新