Cisco VPN Router の脆弱性:EoL 製品 RV340/RV340W/RV345/RV345P はパッチ未適用

Privilege Escalation and Remote Code Execution Threaten Cisco Routers: No Updates Available

2024/10/06 SecurityOnline — 先日のセキュリティ・アドバイザリで Cisco は、Small Business Dual WAN Gigabit VPN Routers RV340/RV340W/RV345/RV345P に影響を及ぼす、複数の脆弱性について明らかにした。これらの脆弱性が悪用されると、ユーザー企業に深刻なセキュリティ・リスクが生じる可能性があるという。

このアドバイザリが警告するのは、脆弱性の悪用に成功した認証済のリモート攻撃者が権限を昇格させ、影響を受けるデバイス上で任意のコマンドを実行する可能性があるという点だ。それにより、ネットワークの整合性が侵害され、脅威がもたらされる可能性があるという。今回のアドバイザリで公開されたのは、脆弱性 CVE-2024-20393 (CVSS:8.8) と、CVE-2024-20470 (CVSS:4.7) である。


このアドバイザリは、それらの脆弱性について以下のように説明している。

CVE-2024-20393:権限昇格の脆弱性:この深刻度の高い脆弱性の悪用に成功したリモート攻撃者は、ルーターのアカウントをゲストから管理者へと昇格させる。この脆弱性は、Web ベースの管理インターフェイスに起因するものであり、機密情報を不適切に開示してしまうものだ。この欠陥を悪用する攻撃者は、細工された HTTP 入力をデバイスに送信することで、管理制御権を不正に取得する。Cisco は、「この脆弱性が存在するのは、Web ベースの管理インターフェイスが、機密情報を開示するためである」と述べている。

CVE-2024-20470:リモート・コマンド実行の脆弱性:この脆弱性の深刻度は Medium であるが、有効な管理者認証情報を持つ攻撃者であれば、影響を受けるルーターの OS 上で任意のコードを実行できる。この脆弱性は、Web ベースの管理インターフェイス内における、ユーザー入力に対する不十分な検証に起因する。この脆弱性を悪用する攻撃者は、細工された HTTP 入力を送信することで、ルート権限で任意のコマンドを実行する。 Cisco は、「この脆弱性が悪用されると、攻撃者は基盤となる OS 上のルート・ユーザーとして、任意のコード実行の可能性を手にする」と警告している。

以下のデバイスは、これらの問題に対して脆弱である。

  • RV340 Dual WAN Gigabit VPN Routers
  • RV340W Dual WAN Gigabit Wireless-AC VPN Routers
  • RV345 Dual WAN Gigabit VPN Routers
  • RV345P Dual WAN Gigabit PoE VPN Routers

ユーザー企業に対して推奨されるのは、ルーターのコンフィグレーションのチェックであり、リモート管理機能が無効化されていることを確認すべきである。それにより、大幅にリスクが軽減される。Cisco は、「これらのデバイスの、リモート管理機能が有効化されている場合には、無効化されることのないローカル LAN 接続、または、WAN 接続を介して、Web ベースの管理インターフェイスは有効化される。デフォルトでは、このリモート管理機能は無効化されている」と説明している。

残念ながら Cisco は、どちらの脆弱性に対しても回避策は存在しないと明言している。さらに悪いことに、これらの脆弱性の影響を受けるルーターは、すでにソフトウェア・メンテナンスが終了しているため、欠陥を修正するソフトウェア・アップデートもリリースされない。したがって、これらのデバイスを使用している中小企業は、潜在的な攻撃に直面し続けることになる。

Cisco の Product Security Incident Response Team (PSIRT) は、「この脆弱性の影響を受ける製品は、すでにソフトウェア・メンテナンスが終了しているため、これらの脆弱性に対処するソフトウェア・アップデートはリリースされず、今後もリリースの予定はない」と述べている。

ユーザー企業に対して Cisco は、一連の製品のサポート終了通知を参照し、新しいデバイスへのアップグレードを検討することを推奨している。現時点において、これらの脆弱性が実際に悪用されたという証拠はないが、脆弱性が公開されたことで、影響を受ける企業は警戒を強めるべきである。

Cisco の、Small Business Dual WAN Gigabit VPN Routers RV340/RV340W/RV345/RV345P に脆弱性とのことですが、いずれも製品も EOL であるため、パッチは提供されないとのことです。したがって、デバイスの交換が推奨されています。よろしければ、Cisco + EOL で検索も、ご利用ください。