Cisco VPN Router のゼロデイ脆弱性 CVE-2022-20825 が FIX:ただし EOL デバイスはサポートされない

Cisco says it won’t fix zero-day RCE in end-of-life VPN routers

2022/06/16 BleepingComputer — Cisco は、未パッチのリモートコード実行の脆弱性を公開したが、生産終了した Small Business RV ルーターの所有者に対しては、新たなモデルへのアップグレードを推奨している。この脆弱性 CVE-2022-20825 は、CVSS スコア 9.8 という深刻なものである。Cisco のセキュリティ・アドバイザリによると、この脆弱性の影響を受けるデバイスでは、受信された HTTP パケットに対するユーザー入力検証が不十分だとされる。したがって、特別に細工したリクエストを Web_based 管理インターフェイスに送信することで、この脆弱性の悪用に成功した攻撃者は、root レベルの特権でコマンドを実行させることが可能になる。

影響と対策

この脆弱性は、Small Business RV Series の RV110W Wireless-N VPN Firewall/RV130 VPN Router/RV130W Wireless-N Multifunction VPN Router/RV215W Wireless-N VPN Router の4機種に影響を及ぼす。また、この脆弱性は、WAN 接続時に Web_based リモート管理インターフェイスが有効になっている機器にのみ影響する。

デフォルトの設定では、リモート管理機能は無効になっているが、Shodan を介した簡単な検索により、公開されているデバイスが見つかっている。リモート管理機能の有効/無効を確認するには、管理者が Web-based 管理インターフェイスにログインし、“Basic Settings > Remote Management” へ移動して、該当するチェック・ボックスの状態を確認する必要がある。

Cisco は、サポートが終了したデバイスには、CVE-2022-20825 に対応するセキュリティ・アップデートをリリースする予定はないとしている。また、WAN インターフェイスのリモート管理を無効にする以外に、利用可能な緩和策はないとしている。

したがって、古いデバイスを使用しているユーザーにとっては、ベンダーが積極的にサポートしている Cisco Small Business RV132W/RV160/ RV160W Router などへ移行するまで、設定変更を適用することが推奨される。

昨年に Cisco は、Universal Plug-and-Play (UPnP) サービスの重大な脆弱性を修正しないことを明らかにし、管理者に対して新らたなモデルへのアップグレードを行うよう警告している。今週に、Cisco は、認証を回避した攻撃者に対して、Cisco メール・ゲートウェイの Web 管理インターフェイスへのログインを許してしまう、Cisco Secure Email の深刻な脆弱性にパッチを適用している。

EOL とは End Of Life の略であり、その製品のライフサイクルの終了を意味します。Cisco のようなハードウェアを販売するベンダーとしては、どこかのタイミングでサポートを打ち切る必要があり、その製品を使用しているユーザーには、何らかの対応が求められることになります。しかし、大量のデバイスを使用している大規模な環境で、EOL に適切に対応することは、とても難しいことでもあります。SBOM が普及すれば、この問題も解決するのでしょうかね。

%d bloggers like this: