Cisco Small Business IP Phones Affected by Critical Vulnerabilities, No Patch!
2024/08/07 SecurityOnline — 先日の Cisco セキュリティ・アドバイザリで公表されたのは、同社の Small Business SPA300/SPA500 シリーズ IP フォンに影響を及ぼす、複数の重大な脆弱性に関する情報である。これらの脆弱性 CVE-2024-20450/CVE-2024-20452/CVE-2024-20454/CVE-2024-20451/ CVE-2024-20453 の悪用に成功した攻撃者が、任意のコマンド実行/サービス拒否 (DoS) 状態などを引き起こし、深刻なセキュリティ・リスクをもたらす可能性が生じる。
パッチ未適用のため保護されず
これらの脆弱性の中心には、影響を受ける IP 電話シリーズの、Web ベース管理インターフェイスが存在する。最も深刻な脆弱性である CVE-2024-20450/CVE-2024-20452/CVE-2024-20454 の深刻度は、それぞれ CVSS 9.8 である。これらの脆弱性の悪用に成功した未認証のリモート攻撃者は、OS の管理者権限で任意のコマンドを実行させる機会を得る。また、受信 HTTP パケットに対する不適切なエラー・チェックにより、バッファ・オーバーフローにいたる可能性もある。特別に細工された HTTP リクエストを送信することで、この脆弱性を悪用する攻撃者は、管理者レベルのアクセス権を獲得し、デバイス上でのコマンド実行を引き起こす可能性を手にする。
その一方で、脆弱性 CVE-2024-20451/CVE-2024-20453 の深刻度は、それぞれ CVSS 7.5 であり、DoS 状態を引き起こす可能性を持つ。これらの脆弱性も、HTTP パケットに対する、不適切なエラー・チェックに起因する。それらの脆弱性が悪用されると、影響を受けるデバイスで想定外のリロードが引き起こされ、正常な運用が阻害される恐れが生じる。
憂慮すべきことに Cisco は、影響を受けるIP 電話シリーズが EOL に達しているため、これらの脆弱性に対処するソフトウェア・アップデートをリリースしないと発表している。そのため、リスクを軽減する当面の解決策が、ユーザーに対して提供されていない。
何ができるのか?
Cisco は直接的な解決策を提示していないが、ユーザーは以下のステップを踏むことで、リスクを最小限に抑えることができる:
- 隔離: 可能であれば、影響を受ける電話機をネットワークから切り離し、リモート攻撃を防ぐ。
- ファイアウォールの設置: 厳密なファイアウォール・ルールを導入し、電話機の Web 管理インターフェースへのアクセスを制限する。
- 監視: 疑わしい動きを確認するために、ネットワーク・トラフィックを注意深く監視する。
- 機器の交換: 脆弱性のある電話機を、セキュリティ・アップデートが適用された、新しいサポート対象機種に交換することを検討する。
よくある、EOL デバイスの脆弱性の話です。デバイスの交換はコストも手間も掛かるだけに、ユーザー側としても悩ましいところです。とは言え、放置すれば攻撃にさらされる可能性が生じるので、緩和策を徹底する他に策はないという状況です。ご利用のチームは、ご注意ください。よろしければ、Cisco で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.