Ciscoは水曜日、2025年9月のセキュリティアドバイザリ一括公開の一環として、IOS XRソフトウェアの3つの脆弱性に対するパッチをリリースしました。
CVE-2025-20248(CVSSスコア6)として追跡されている最初のバグは、IOS XRのインストールプロセスにおける高深刻度の問題であり、攻撃者がイメージ署名の検証を回避できる可能性があります。
Ciscoの説明によると、この脆弱性が悪用されると、署名されていないファイルがISOイメージに追加され、それがデバイスにインストールおよび有効化される可能性があります。
イメージ検証プロセスが回避される可能性があるため、Ciscoはこのアドバイザリのセキュリティ影響評価を中から高に引き上げました。
今週解決された2つ目のIOS XRの問題はCVE-2025-20340(CVSSスコア7.4)であり、ソフトウェアのアドレス解決プロトコル(ARP)実装におけるバグです。隣接する認証されていない攻撃者によってサービス拒否(DoS)状態を引き起こされる可能性があります。
「この脆弱性は、Cisco IOS XRソフトウェアが管理インターフェースに大量かつ持続的なARPトラフィックを処理する方法に起因します。特定の条件下で、攻撃者は影響を受けるデバイスの管理インターフェースに過剰なトラフィックを送信することで、この脆弱性を悪用し、ARP処理能力を圧倒する可能性があります」とCiscoは説明しています。
3つ目のセキュリティ欠陥は、IOS XRのACL処理機能における中程度の深刻度の問題であり、認証されていないリモート攻撃者が脆弱なデバイスにトラフィックを送信し、SSH、NetConf、gRPC機能用に設定されたACLを回避できる可能性があります。
CVE-2025-20159(CVSSスコア5.3)として追跡されているこの脆弱性は、IOS XRのSSH、NetConf、gRPC向けパケットI/Oインフラストラクチャプラットフォームが管理インターフェースACLをサポートしていなかったことに起因します。
広告。スクロールして続きをお読みください。
Ciscoは、これらの脆弱性が実際に悪用されたという情報は把握していないと述べています。ユーザーには、Ciscoの脆弱性が悪用された事例があることから、できるだけ早く利用可能なパッチを適用することが推奨されています。
関連記事: Fortinet、Ivanti、Nvidiaがセキュリティアップデートを公開
関連記事: Appleが高度な攻撃に対抗するiPhoneメモリ保護機能を発表
関連記事: ICS Patch Tuesday:Rockwell Automationが8件のセキュリティアドバイザリをリード
翻訳元: https://www.securityweek.com/cisco-patches-high-severity-ios-xr-vulnerabilities/