Critical
Critical
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
2025 年 4 月 16 日に、Erlang/OTP SSH サーバーの重大な脆弱性が公開されました。この脆弱性により、認証されていないリモートの攻撃者が該当デバイスでリモートコード実行(RCE)を行う可能性があります。
この脆弱性は、認証フェーズにおける SSH メッセージの処理の不具合に起因します。
この脆弱性の説明については、Erlang の発表を参照してください。
このアドバイザリは、次のリンクより確認できます。
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-erlang-otp-ssh-xyZZy
該当製品
シスコでは、この脆弱性の影響を受ける可能性がある製品を判断するために、Erlang/OTP を含む製品ラインを調査しました。
このアドバイザリは、影響を受けるソフトウェアコンポーネントを含むことが判明しており、脆弱性が存在する可能性があるシスコ製品およびサービスのみを記載しています。影響を受けるソフトウェアコンポーネントを含まない製品およびサービスは脆弱ではないため、このアドバイザリには記載されていません。このアドバイザリの「影響を受ける製品」セクションに明示的に記載されていないシスコ製品またはサービスは、記載されている脆弱性の影響を受けません。
「脆弱性が存在する製品」の項には、影響を受ける製品の Cisco Bug ID を示します。Cisco Bug は Cisco Bug Search Tool で検索可能であり、回避策(使用可能な場合)と修正されたソフトウェア リリースなど、プラットフォーム固有の追加情報が記載されます。
脆弱性のある製品
次の表に、本アドバイザリに記載された脆弱性の影響を受けるシスコ製品を示します。将来のソフトウェア リリース日が示されている場合、その日付はこのアドバイザリの上部にある最終更新日時点でシスコが把握しているすべての情報に基づいた日付になります。このソフトウェア リリースの日付は、試験結果や優先される機能や修正の提供等いくつかの理由により変更される場合があります。詳細については、関連するシスコのバグを参照してください。
| シスコ製品 | Cisco Bug ID | 修正済みリリースが利用可能 |
|---|---|---|
| ネットワーク アプリケーション、サービス、およびアクセラレーション | ||
| ConfD、ConfD Basic1 | CSCwo83759 | 7.7.19.1 8.0.17.1 8.1.16.2 8.2.11.1 8.3.8.1 8.4.4.1 |
| ネットワーク管理とプロビジョニング | ||
| Network Services Orchestrator(NSO)1 | CSCwo83796 | 5.7.19.1 6.1.16.2 6.2.11.1 6.3.8.1 6.4.1.1 6.4.4.1 |
| Smart PHY1 | CSCwo83751 | 25.2(2025 年 9 月) |
| Ultra Services Platform1 | CSCwo83750 | 修正の予定はありません。 |
| Routing and Switching - Enterprise and Service Provider | ||
| ASR 5000 シリーズ ソフトウェア(StarOS)、Ultra Packet Core1 | CSCwo83806 | 2025.03(2025 年 7 月) |
| Cloud Native Broadband Network Gateway1 | CSCwo83769 | 2025.03.1(2025 年 8 月) |
| iNode Manager | CSCwo83755 | 修正の予定はありません。2 |
| Optical Site Manager for Network Convergence System(NCS)1000 シリーズ1 | CSCwo83800 | 25.2.1(2025 年 6 月) 25.3.1(2025 年 9 月) |
| NCS 2000 シリーズのシェルフ仮想化オーケストレータモジュール1 | CSCwo83774 | 25.1.1(2025 年 6 月) |
| Ultra Cloud Core:アクセスおよびモビリティ管理機能1 | CSCwo83785 | 2025.03.1(2025 年 8 月) |
| Ultra Cloud Core:ポリシー制御機能1 | CSCwo83789 | 2025.03.1(2025 年 8 月) |
| Ultra Cloud Core:Redundancy Configuration Manager1 | CSCwo83753 | 2025.03.1(2025 年 8 月) |
| Ultra Cloud Core:セッション管理機能1 | CSCwo83775 | 2025.03.1(2025 年 8 月) |
| Ultra Cloud Core:サブスクライバ マイクロサービス インフラストラクチャ1 | CSCwo83747 | 2025.03.1(2025 年 8 月) |
| Unified Computing | ||
| エンタープライズ NFV インフラストラクチャ ソフトウェア(NFVIS)1 | CSCwo83758 | 4.18(2025 年 8 月) |
| ルーティングおよびスイッチング - スモール ビジネス | ||
| Small Business RV シリーズ ルータ RV160、RV160W、RV260、RV260P、RV260W、RV340、RV340W、RV345、RV345P | CSCwo83803 CSCwo83767 |
修正の予定はありません。3 |
脆弱性を含んでいないことが確認された製品
このアドバイザリの脆弱性のある製品セクションにリストされている製品だけがこの脆弱性の影響を受けることが知られています。
シスコは、この脆弱性が以下のシスコ製品には影響を与えないことを確認しました。
| ネットワークおよびコンテンツ セキュリティ デバイス |
| FXOS ソフトウェア |
| Identity Services Engine(ISE) |
| Cisco Secure Adaptive Security Appliance(ASA)ソフトウェア |
| Cisco Secure Firewall Management Center(FMC)ソフトウェア |
| Cisco Secure Firewall Threat Defense(FTD)ソフトウェア |
| Secure Network Analytics(SNA) |
| ネットワーク アプリケーション、サービス、およびアクセラレーション |
| 自動障害管理 |
| Wide Area Application Services(WAAS)Software |
| ネットワーク管理とプロビジョニング |
| Application Policy Infrastructure Controller(APIC) |
| Crosswork Hierarchical Controller |
| Cyber Vision |
| Elastic Services Controller |
| Evolved Programmable Network Manager(EPNM) |
| FindIT ネットワーク管理ソフトウェア |
| Policy Suite |
| Provider Connectivity Assurance |
| Virtual Topology System |
| 仮想インフラストラクチャ マネージャ |
| WAE の自動化 |
| Routing and Switching - Enterprise and Service Provider |
| Catalyst Center |
| Catalyst SD-WAN Manager |
| Catalyst SD-WAN |
| Intelligent Node ソフトウェア |
| IOS ソフトウェア |
| IOS XE ソフトウェア |
| IOS XR ソフトウェア |
| Meraki 製品 |
| NX-OS ソフトウェア |
| ルーティングおよびスイッチング - スモール ビジネス |
| Business ダッシュボード |
| ビデオ、ストリーミング、テレプレゼンス、およびトランスコーディング デバイス |
| Expressway および TelePresence Video Communication Server(VCS) |
回避策
すべての回避策は、製品固有の Cisco Bug として文書化され、それぞれこのアドバイザリの「脆弱性のある製品」セクションで特定されます。
修正済みソフトウェア
修正済みソフトウェア リリースの詳細については、本アドバイザリの「脆弱性のある製品」セクションに記載されている Cisco Bug ID を参照してください。
ソフトウェアのアップグレードを検討する際には、シスコ セキュリティ アドバイザリ ページで入手できるシスコ製品のアドバイザリを定期的に参照して、侵害を受ける可能性と完全なアップグレード ソリューションを確認してください。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。不明な点については、Cisco Technical Assistance Center(TAC)もしくは契約しているメンテナンスプロバイダーにお問い合わせください。
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)は、2025 年 6 月に、この脆弱性をエクスプロイトしようとする試みが広まっていることを認識しました。これらの脆弱性が修正済みのソフトウェアリリースにアップグレードすることを、引き続き強くお勧めします。
出典
この脆弱性は、Erlang/OTP Github Issues Tracker を通じて公に報告されました。
URL
改訂履歴
| バージョン | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.11 | CISA KEV に脆弱性が追加されました。 | 不正利用事例と公式発表 | Final | 2025 年 6 月 11 日 |
| 1.10 | 製品リストとステータスを更新。アドバイザリのステータスを[Final]に変更。 | ヘッダーと脆弱な製品 | Final | 2025 年 6 月 10 日 |
| 1.9 | 製品リストとステータスを更新。 | 脆弱性が存在する製品 | Interim | 2025 年 5 月 30 日 |
| 1.8 | 製品リストとステータスを更新。 | 脆弱性が存在する製品 | Interim | 2025 年 5 月 28 日 |
| 1.7 | 製品リストとステータスを更新。 | 脆弱性が存在する製品 | Interim | 2025 年 5 月 7 日 |
| 1.6 | 製品リストとステータスを更新。 | 脆弱性が存在する製品 | Interim | 2025 年 4 月 30 日 |
| 1.5 | 製品リストとステータスを更新。 | 該当製品, 脆弱性が存在する製品, 脆弱性を含んでいないことが確認された製品 | Interim | 2025 年 4 月 29 日 |
| 1.4 | 製品リストとステータスを更新。 | 脆弱性が存在する製品 | Interim | 2025 年 4 月 28 日 |
| 1.3 | 製品リストとステータスを更新。 | 「調査中の製品」、「脆弱性が存在する製品」、「脆弱性が存在しない製品」 | Interim | 2025 年 4 月 25 日 |
| 1.2 | 製品リストとステータスを更新。 | 「調査中の製品」、「脆弱性が存在する製品」、「脆弱性が存在しない製品」 | Interim | 2025 年 4 月 24 日 |
| 1.1 | 製品リストとステータスを更新。 | 「調査中の製品」、「脆弱性が存在する製品」、「脆弱性が存在しない製品」 | Interim | 2025 年 4 月 23 日 |
| 1.0 | 初回公開リリース | — | Interim | 2025 年 4 月 22 日 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。