Cisco の EoL ルータ群:認証バイパスのゼロデイ脆弱性が放置される

Cisco won’t fix authentication bypass zero-day in EoL routers

2022/09/07 BleepingComputer — Cisco の新たな発表は、中小企業向け VPN ルーターに影響をおよぼす認証バイパスの脆弱性について、デバイスが製造終了 (EoL) に達したことを理由として、パッチを適用しないというものである。このゼロデイ脆弱性 CVE-2022-20923 は、パスワード検証アルゴリズムの欠陥に起因するものであり、IPSec VPN サーバー機能が有効化されている場合に、細工された認証情報も用いる攻撃者に対して、脆弱なデバイス上の VPN にログインを許すというものである。

水曜日に Cisco は、セキュリティ勧告の中で、「悪用に成功した攻撃者は、認証をバイパスして IPSec VPN ネットワークにアクセスできるようになる。細工された認証情報の内容に応じて、管理ユーザーと同レベルの特権取得も可能になる」と説明している。

それぞれのルーターで IPSec VPN サーバの有効/無効を判断するには、Webベースの管理インターフェースにログインし、VPN > IPSec VPN Server > Setup と進む必要がある。そこで、Server Enable が有効化されている場合には、そのデバイスが CVE-2022-20923 悪用の試みにさらされることになる。

幸いなことに、Cisco の Product Security Incident Response Team (PSIRT) によると、このゼロデイ脆弱性に対する PoC エクスプロイトや、野放し状態でバグを悪用する脅威アクターの存在は見つからなかったようだ。

ルーターの新機種へのアップグレードによる保護

Cisco は、このセキュリティ脆弱性の影響を受ける RV110W/RV130/RV130W/RV215W ルーターを使用している顧客に対して、セキュリティ・アップデートが適用されている現行モデルへのアップグレードを推奨している。

Cisco の Web サイト上の販売終了の通知によると、これらの RV シリーズ・ルータの販売は、2019年12月2日で終了している。

Cisco は、「本アドバイザリに記載された、脆弱性に対応するソフトウェア・アップデートはリリースされず、また、今後もリリースする予定はない。顧客に対しては、Cisco Small Business RV132W/RV160/RV160W ルータへの移行を推奨する」とは付け加えている。

最近の Cisco においては、いくつかの EoL ルーター・モデルに生じたセキュリティ脆弱性であっても、この CVE-2022-20923 にように、パッチが適用されずに放置されるものがある。

たとえば、2021年8月には、これらの RV シリーズ・ルータに存在する脆弱性 CVE-2021-34730 について、認証されていないリモートの攻撃者に対して、root ユーザーとしての任意のコード実行を許す問題が放置されている。同社としては、セキュリティ・パッチがリリースされる新しいモデルへの移行を、顧客に対して要請している。

また、2022年6月にも Cisco は、パッチが適用されない深刻なリモートコード実行 (RCE) の脆弱性 CVE-2022-20825 を公開した後に、所有者に対する新モデルへの移行を推奨している。

以前にも、似たような話があったと思い調べてみたら、2022年1月17日に「Cisco VPN Router のゼロデイ脆弱性 CVE-2022-20825 が FIX:ただし EOL デバイスはサポートされない」という記事がありました。ビジネスである以上、EOL デバイスへのパッチ未適用という事態は仕方ないことだと思いますが、資産の管理がしっかりしていない大組織は、かなり厄介な状況に追い込まれるはずです。やはり、ソフトウェアやアプライアンスなどの可視化は、とても重要なものであり、セキュリティ対策の第一歩なのでしょう。

%d bloggers like this: