シスコ、10年前に開示されたASAの脆弱性悪用する攻撃について注意喚起：CVE-2014-2120

佐々山 Tacos

2025.10.30

12月4日：サイバーセキュリティ関連ニュース

シスコ、10年前に開示されたASAの脆弱性悪用する攻撃について注意喚起：CVE-2014-2120

SecurityWeek – December 3, 2024

シスコ（Cisco）は12月2日、10年前にリリースされた脆弱性CVE-2014-2120のアドバイザリを更新。この脆弱性を悪用しようとする新たな試みが観測されたことを報告し、顧客に注意を呼びかけた。

CVE-2014-2120は、Cisco適応型セキュリティアプライアンスのWebVPNログインページにおけるクロスサイトスクリプティング（XSS）の脆弱性。認証されていないリモートの攻撃者は、WebVPNユーザーに有害なリンクをクリックさせることによりこの脆弱性を悪用し、XSS攻撃を仕掛けることができると説明されている。2014年3月に開示されたものだが、シスコのPSIRTは2024年11月に実際の攻撃でこの脆弱性を悪用しようとする試みを新たに認識したという。

CVE-2014-2120の悪用については、シスコがアドバイザリを更新するおよそ1か月前に公開されたCloudSEKのブログ記事で言及されていた。この記事の中でCloudSEKの研究者らは、同脆弱性はアトラシアン、Metabase、Sophos、Oracle、OptiLing、TP-Link、Netgear、GPON製品の脆弱性とともにボットネット「Androxgh0st」によって悪用されている旨を伝えている。Androxgh0stのアクターらは、特別に細工したリクエストを使って脆弱性の悪用を試み、このリクエストによって任意のファイルを遠隔からアップロードしたり、サーバー上のPHPファイルに有害なコードを加えたりして永続性を確立しようとしているという。

関連記事：AWS、Azure、Office 365の認証情報を狙うAndroxGh0stボットネットについて、米当局が注意喚起

なおCloudSEKの記事が公開されたのは11月6日だが、その後同月12日には、CISAがCVE-2014-2120をKEVカタログ（悪用が確認された脆弱性のカタログ）に追加し、12月3日までの対応を米連邦政府組織に指示していた。シスコは12月2日のアップデートにおいて、「これらの脆弱性が修正済みのソフトウェアリリースにアップグレードすることを、引き続き強くお勧めします」と述べている。

Veeam、Service Provider Consoleの脆弱性を修正：CVE-2024-42448、CVE-2024-42449

Help Net Security – December 3, 2024

VeeamがVeeam Service Provider Console（VSPC）における脆弱性CVE-2024-42448およびCVE-2024-42449を修正。特に前者についてはVSPCサーバーマシン上でのリモートコード実行を可能にし得るとして、顧客に注意を呼びかけた。

Veeam Service Provider Console（VSPC）は、エンタープライズ顧客による各オフィスのバックアップオペレーションの管理およびモニタリングに使用されるほか、サービスプロバイダーにもバックアップ・アズ・ア・サービス（BaaS）やディザスタリカバリ（災害復旧）・アズ・ア・サービス（DRaaS）の提供のために利用されている製品。今回Veeamは、同製品における以下2件の脆弱性を修正している。

CVE-2024-42448：VSPCサーバーマシン上のVSPCマネージメントエージェントからリモートコード実行を達成できるようになる脆弱性。ただし、マネージメントエージェントがサーバー上で認可されていることが条件となる。CVSS v3.1のスコアは9.9、深刻度は「Critical（緊急）」の評価。
CVE-2024-42449：攻撃者に悪用されると、VSPCサーバーのサービスアカウントのNTLMハッシュを流出させ、VSPCサーバーマシン上のファイルを削除することが可能になる脆弱性。ただし、VSPCマネージメントエージェントがサーバー上で認可されていることが条件となる。CVSS v3.1スコアは7.1、深刻度は「High（高い）」の評価。

いずれの脆弱性に関しても、Veeamは攻撃での悪用事例について言及していない。同製品の利用者には、8.1.0.21999以降のバージョンにアップデートすることが推奨されている。