Cisco warns of auth bypass bug with public exploit in EoL routers
2023/01/11 BleepingComputer — 2023年1月11日に Cisco は、EoL VPN ルーター群に影響を及ぼし、すでにエクスプロイト・コードが公開されている、深刻な認証バイパスの脆弱性について、顧客に警告を発した。このセキュリティ上の欠陥 CVE-2023-20025 は、Cisco Small Business RV016/RV042/RV042G/RV082 ルーターの Web ベースの管理インターフェイスに存在するものであり、Qihoo 360 Netlab の Hou Liuyang により発見されている。
この問題は、受信する HTTP パケット内における、ユーザー入力対する不適切な検証により引き起こされる。未認証の攻撃者は、脆弱なルーターの Web ベースの管理インターフェイスに対して、特別に細工した HTTP リクエストを送信することで認証を回避し、リモートからの悪用を可能にする。
この脆弱性の悪用に成功した攻撃者は、root 権限を取得できる。そして、別の脆弱性は、CVE-2023-20026 (CVE-2023-2002?) と連鎖させることで、基盤となるオペレーティング・システム上で任意のコマンドを実行できるようになる。
この脆弱性を Critical と評価した Cisco は、「当社の PSIRT は、PoC エクスプロイト・コードが出回っていることを認識している。ただし、この脆弱性に対応するソフトウェア・アップデートはリリースしておらず、今後もリリースしない予定である。幸いなことに、Cisco PSIRT は、この脆弱性の攻撃での悪用を示唆する、証拠については発見していない」と述べている。
Web 管理インターフェイスを無効化して攻撃をブロック
WAN VPNルーター RV016/RV082 は、それぞれが、2016年1月と5月に販売を完了している。VPN ルーター RV042/RV042G は、2020年1月30日に販売を完了しているが、2025年1月31日までサポートが継続される予定だ。
この脆弱性に対処するための回避策は存在しないが、脆弱なルーターの Web ベースの管理インターフェイスを無効化し、ポート 443/60443 へのアクセスをブロックすれば、悪用の試みを妨害できる。
そのためには、各デバイスの Web ベースの管理インターフェイスにログインし、Firewall > General へと進み、Remote Management チェックボックスを OFF にする必要がある。本日も発表されたセキュリティ・アドバイザリの中で Cisco は、ポート443/60443 へのアクセスをブロックするための詳細な手順も提供している。
上記の緩和策を実施した後も、影響を受けるルーターへのアクセスは可能であり、LAN インターフェイスから設定できるという。
2022年9月に Cisco は、EoL ルーターである RV110W/RV130/RV130W/RV215W に影響を及ぼす、深刻な認証バイパスの脆弱性についても修正しないことを発表し、現行機種である RV132W/RV160/RV160W ルーターへの移行を促している。また、6月にも、同じくパッチが適用されない、リモートコード実行 (RCE) の深刻な脆弱性 CVE-2022-20825 を公表し、新モデルへの移行を推奨している。
Cisco のルーターに存在する脆弱性であり、EoL にはパッチが提供されませんが、Web ベースの管理インターフェイスを無効化し、ポート 443/60443 へのアクセスをブロックすれば、悪用の試みを妨害できるとのことです。なお、文中の CVE-2023-20026 ですが、原文では CVE-2023-2002 となっていましたが、お隣のキュレーション・チームから間違いを指摘され、修正しました。また、最近の Cinso に関連するトピックとしては、2022年12月30日の「CISA KEV カタログの1年:悪用された脆弱性の半分は Adobe/Apple/Cisco/Microsoft」が興味深い内容となっています。よろしければ、Cisco で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.