Cisco Warns of Unpatched Vulnerability (CVE-2024-20416) in RV340 and RV345 Routers
2024/07/19 SecurityOnline — Cisco が発表したセキュリティ・アドバイザリは、RV340/RV345 Dual WAN Gigabit VPN ルーターに存在する脆弱性に関するものだ。この、脆弱性 CVE-2024-20416 の悪用に成功した認証済みの攻撃者は、影響を受けるデバイス上でリモートから任意のコードを実行する可能性を得る。
この脆弱性 CVE-2024-20416 (CVSS:6.5) の深刻度は Medium であり、特定の HTTP リクエストを処理する際の、不適切な境界チェックが起因するものだ。その悪用に成功した攻撃者により、ルーターの基盤となる OS の広範囲に及ぶ制御が可能性になってしまう。Cisco の発表の内容は、影響を受けるルーター・モデルが EOL に達していることから、この深刻な脆弱性に対処するためのソフトウェア・アップデートはリリースされないというものだ。
この脆弱性の影響を受けるのは、Cisco Small Business Router Firmware Release 1.0.03.24 以降を実行している、以下の Cisco 製品である:
- RV340 Dual WAN Gigabit VPN ルーター
- RV340W Dual WAN Gigabit Wireless-AC VPN ルーター
- RV345 Dual WAN Gigabit VPN ルーター
- RV345P Dual WAN Gigabit PoE VPN ルーター
さらに Cisco は、この脆弱性を緩和する回避策がないことを確認している。現時点において、Cisco PSIRT は、この脆弱性の悪用/攻撃を認識していないが、パッチが提供されていないことから、ユーザーにとって対策は必須となる。
ソフトウェアによる修正プログラムが提供されていないため、推奨される唯一の対策は、影響を受けるルーターを新しいモデルに交換することである。Cisco が強調しているのは、脆弱性のあるルーターの使用により、ユーザーが深刻なセキュリティ・リスクに直面することである。
Cisco の RV340/RV345 に脆弱性とのことですが、この製品は EOL であり、パッチは適用されません。EOL 製品の管理というのも、なかなか大変なことですね。大量の IT 資産を抱えている組織では、なおさらのことです。この RV340/RV345 の EOL について調べてみたら、EOL14541 というページがあり、そこに RV340/RV345 が明記されていました。よろしければ、Cisco + EOL で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.