Cisco がパッチを諦めた End-of-Life のルーターとは?

Cisco Will Not Patch Critical RCE Flaw Affecting End-of-Life Business Routers

2021/04/09 TheHackerNews — ネットワーク機器大手の Cisco Systems だが、Small Business ルーターの一部に影響するクリティカルな脆弱性を修正する予定はないと発表し、それらの機器の交換をユーザーに呼びかけている。このバグは、CVE-2021-1459 としてトラッキングされ、深刻度を示す CVSS スコアは 9.8 となっている。

対象となる機器は RV110W VPN Firewall および Small Business RV130/RV130W/RV215W Router であり、この脆弱性を持つアプライアンス上で、認証を必要としないリモート攻撃者により任意のコードが実行されてしまう。この脆弱性は、Web-based Management Interface 上での不適切な入力確認に起因しており、悪意の HTTP リクエストを送信することで、悪用されてしまう。「この攻撃に成功した攻撃者は、対象となるデバイスの OS 上で、root 権限を用いて任意のコードを実行できる」と、Cisco のアドバイザリーは説明している。

脆弱性 CVE-2021-1459 は、セキュリティ研究者である Treck Zhou によりレポートされたと、この記事は解説しています。Ciscoは、この脆弱性が悪用された形跡はないとしていますが、製品が製造中止になったことを理由に、パッチや回避策の提供は行わないとしています。これとは別に、Cisco SD-WAN vManage の脆弱性(CVE-2021-1137、CVE-2021-1479、CVE-2021-1480)に対処するためのソフトウェア・アップデートを公開しました。これらの脆弱性により、認証されていないリモートの攻撃者による任意のコード実行などが生じる可能性があると、Cisco は注意を促しています。

%d bloggers like this: