Cisco VPN ルーターの深刻な pre-auth RCE 脆弱性が FIX

Cisco fixes critical, high severity pre-auth flaws in VPN routers

2021/08/04 BleepingComputer — Cisco は、複数の Small Business VPN ルータに影響を与える、pre-auth セキュリティの脆弱性に対処した。この脆弱性を悪用するリモート攻撃者により、脆弱なデバイス上でサービス運用妨害や、懇意のコマンド実行、任意のコード実行 (RCE : Remote Code Execution) などが生じる恐れがある。CVE-2021-1609 (CVSS 9.8) および CVE-2021-1602 (CVSS 8.2) として追跡される2つのセキュリティ上の欠陥は、Web_based 管理インターフェイスで発見され、HTTP リクエストとユーザー入力における不適切に検証が原因となる。

CVE-2021-1609 は、RV340 / RV340W / RV345 / RV345P Dual WAN Gigabit VPN ルータに影響し、CVE-2021-1602 は、RV160 / RV160W / RV260 / RV260P / RV260W VPN ルータに影響する。いずれの脆弱性も、ユーザーの操作/認証を必要とせずに、リモートからの悪用を許してしまう。攻撃者は、悪意の HTTP リクエストを、対象ルーターの Web_based 管理インターフェイスに送信することで、この脆弱性を悪用できる。

すべてのルーターのリモート管理はディフォルトで無効

同社の説明によると、影響を受ける全 VPN ルーター・モデルにおいては、幸いなことに、リモート管理機能がデフォルトで無効になっている。Cisco は、「これらのデバイスの Web_based 管理インターフェイスは、デフォルトではローカル LAN 接続を通じて利用可能であり、そこでの接続は無効にできない。また、リモート管理機能を有効にすることで、WAN インターフェイスからも悪用可能になる。デフォルトでは、対象デバイスのリモート管理機能は無効になっている」と述べている。

リモート管理機能の有効/無効を確認するには、ローカル LAN 接続を介してルーターの Web_based 管理インターフェースを開き、「基本設定」>「リモート管理」のオプションの ON/OFF を確認する必要がある。Cisco では、これらの脆弱性に対処するための、ソフトウェア・アップデートを公開しており、また、攻撃ベクターを取り除くための回避策はないとしている。Cisco のソフトウェア・センターからパッチを適用したファームウェアをダウンロードするには、Cisco.com の「Browse All」をクリックし、「Downloads Home」→「Router」→「Small Business Routers」→「Small Business RV Series Routers」に移動する必要がある。

ワイルドな悪用は検知されていない

Cisco の Product Security Incident Response Team (PSIRT) は、この2つのセキュリティ欠陥について、「すでに公表されたこともなく、悪用されたことも認識していない」としているが、過去には同社におけるルーターの脆弱性が、攻撃者により積極的に狙われたことがある。2020年8月に Cisco は、マルチキャスト・ルーティングを有効にしたキャリアグ・レードの IOS XR ルーターにおいて、ゼロデイ・バグ (CVE-2020-3566 / CVE-2020-3569) が積極的に悪用されていることを警告した。

同社は、最初の警告から1カ月後の2020年9月下旬に、ゼロデイ・パッチを適用した。その1カ月後の2020年10月に Cisco は、同じルーターモデルにディプロイされた IOS XR Network OS に、深刻な脆弱性 CVE-2020-3118 が存在し、積極的に狙う攻撃があると再警告した。時を同じくして、米国家安全保障局 (NSA) も、中国の国家支援脅威アクターが標的/悪用する、25件のセキュリティ脆弱性の中に CVE-2020-3118 を含めた。2020年7月に Cisco は、積極的に悪用される別の ASA/FTD ファイアウォールのバグと、デバイスの完全な乗っ取りにつながる pre-auth リモートコード実行 (RCE) の欠陥を修正した。

Cisco の Web_based Management Interface は、脆弱性の多発地帯で、今回もココが原因のようです。pre-auth リモートコード実行 (RCE) という、恐ろしいバグですが、すべてのルーターのリモート管理はディフォルトで無効になっているということで、ちょっと安心ですね。リモート管理は、必要最小限の範囲に留めるという、考え方とポリシー設定が大事だと思います。

%d bloggers like this: