概要
シスコは、複数の企業向けセキュリティ製品に影響を与えるSnort 3検出エンジンにおける2つの重大な脆弱性を公表しました。これらの脆弱性、CVE-2026-20026およびCVE-2026-20027は、認証されていないリモートの攻撃者によって機密情報が漏洩したり、パケット検査機能が中断されサービス拒否状態が発生する可能性があります。
脆弱性の詳細
今回の脆弱性は、分散コンピューティング環境リモートプロシージャコール (DCE/RPC) リクエストを処理する際の不適切なバッファ処理ロジックに起因します。
- CVE-2026-20026: バッファのuse-after-free状態に起因し、エンジンが予期せず再起動され、重要なパケット検査動作が中断される可能性があります。
- CVE-2026-20027: 境界外読み取りの脆弱性であり、攻撃者がSnort 3のデータストリームから機密情報を抽出できる可能性があります。
両脆弱性ともに深刻度は「中」と評価されており、CVSSベーススコアはそれぞれ5.8と5.3です。これらは、認証やユーザー操作を必要とせず、ネットワーク経由で攻撃が可能な経路を示しています。
影響を受ける製品
これらの脆弱性は、シスコの広範なセキュリティポートフォリオに影響を及ぼします。
- オープンソースのSnort 3デプロイメント。
- Snort 3を実行しているCisco Secure Firewall Threat Defense (FTD) システム(バージョン7.0.0以降の新規FTDインストール)。
- オプションのUnified Threat Defenseモジュールがインストールされ有効になっているCisco IOS XEベースのセキュリティ製品(Catalyst 8000および8500シリーズエッジプラットフォーム、Integrated Services Routersなど)。
- Cisco Meraki MXシリーズアプライアンス(MX67からMX600までの各種モデルおよび仮想バリアント)。これらのパッチは2026年2月に提供予定です。
攻撃の成功には、Snort 3によって監視されている確立された接続を通じて、大量の細工されたDCE/RPCリクエストを送信する必要があります。
対策と推奨事項
シスコは、これらの脆弱性を緩和するための回避策は存在しないと明示しており、ソフトウェアアップデートが唯一の修正パスとなります。
- オープンソースデプロイメント向けには、Snort 3.9.6.0。
- FTDバージョン7.0および7.2向けには、Software Centerを通じて入手可能なホットフィックス。
- Cisco IOS XE向けには、2026年2月に予定されているバージョン26.1.1でのアップデート。
組織は、シスコのSoftware Checkerツールを使用して影響を確認し、パッチの展開を優先することが推奨されます。シスコの製品セキュリティインシデント対応チームは、アドバイザリ公開時点でアクティブな悪用や公開された情報は確認されていないことを表明しており、影響を受けるインフラ全体で計画的な修正を行うための猶予期間があることを示しています。