Cisco VPN ルーター:脆弱性はあるけどディスコンです

Cisco won’t fix zero-day RCE vulnerability in end-of-life VPN routers

2021/08/19 BleepingComputer — 水曜日に公開された Cisco のセキュリティ・アドバイザリにおいて、中小企業向け VPN ルーター群の Universal Plug-and-Play (UPnP) サービスに存在する深刻な脆弱性について、パッチの適用は行われないという発表があったが、当該デバイスが製造中止となったことに理由がある。

このゼロデイ脆弱性 CVE-2021-34730 CVSS 9.8 は、受信する UPnP トラフィックの不適切な検証に起因するものであり、IoT Inspector Research Lab の Quentin Kaiser により報告さた。この脆弱性を悪用すると、認証されていない攻撃者による、デバイスの再起動や、OS の root 権限での リモート・コード実行などが可能になる。

Cisco は、「このアドバイザリに記載されている脆弱性に対処するための、ソフトウェア・アップデートはリリースされず、また、今後もリリースの予定はない。Cisco Small Business RV110W / RV130 / RV130W / RV215W ルーターは、製造終了のプロセスに入った」と述べている。Cisco の Web サイトでのアナウンスによると、これらの RV シリーズ・ルーターの最終注文受付日はは 2019年12月2日である。

同社は、これらのルーター・モデルを使用している顧客に対して、セキュリティ・アップデートを受けることが可能な新シリーズである、Cisco Small Business RV132W / RV160 / RV160W ルーターに移行するよう求めている。さらに Cisco の Product Security Incident Response Team (PSIRT) は、一連の製品に対するゼロデイ PoC エクスプロイトの公開および、脅威アクターによるワイルドな悪用に関しては、認識していないと述べている。

緩和策

この脆弱性は、UPnP サービスが ON になっている場合にのみ、RV110W / RV130 / RV130W / RV215W の各機種に影響を与える。Cisco によると、UPnP は、これらのデバイスの LAN インターフェースでのみデフォルトで ON であり、また、すべての WAN インターフェースではデフォルトで OFF になっているとのことだ。影響を受けるルーター・モデルは、LAN と WAN のインターフェイスで、サービスが OFF になっていれば脆弱性があるとは見なされない。

Cisco は、この深刻な脆弱性に対処するセキュリティ・アップデートをリリースする予定はないが、Web ベースの管理インターフェースを介して、影響を受ける全ルーターの UPnP サービスを無効にすることで、攻撃ベクトルを取り除くことができると述べている。各デバイスの LAN インターフェイスで、この UPnP 機能の ON/OFF 確認するには、Web ベース管理インターフェイスを開き、「基本設定」>「UPnP」を選択する。OFF のチェックボックスにチェックが無ければ、そのデバイスの UPnP は有効になっている。

パッチを待つゼロデイ

2周間前に Cisco は、先月に公開された Adaptive Security Device Manager (ADSM) ランチャーにおける、別のリモートコード実行 (RCE) の脆弱性にいて、セキュリティ・アップデートが適用されていないゼロデイであることを明らかにした。また、Cisco AnyConnect Secure Mobility Client VPN ソフトウェアに存在する、別のゼロデイ脆弱性 CVE-2020-3556 については、一般に公開されている PoC エクスプロイト・コードを認識していたにもかかわらず、最初の公開から6ヶ月後にパッチをリリースしている。

遅延の理由は明らかにされていないがが、悪用された形跡はなく、デフォルトの設定では攻撃を受けないため、この修正は優先されなかったようだ。脅威アクターたちは、これら2つの欠陥を悪用しなかったが、Twitter で PoC エクスプロイトが公開された直後に、Cisco ASA のバグ (2020年10月に部分的にパッチが適用され、2021年4月に完全に対処される) に襲いかかっている。

脆弱性情報を活用するためには、ユーザー・サイドのソフトウェア資産リストとの突合が不可欠。というわけで、キュレーション・チームは日々の作業の中で、ソフトウェア・カタログもアップデートしています。その日に拾った脆弱性のから、新規のベンダー名、製品名、カテゴリ名・・・ などがあれば、データベースをアップデートするという流れです。それで、やたら製品の種類が多いのが、Cisco と IBM と Oracle ですが、その中でも群を抜いて多いのが Cisco。どんどん、ディスコンにしていかなければ、収集がつかなくなるという気持ち、分かります。

%d bloggers like this: