CISA Adds 3 D-Link Vulnerabilities to KEV Catalog Amid Active Exploitation Evidence
2025/08/06 TheHackerNews — 2025年8月5日 (火) に、米国の Cybersecurity and Infrastructure Security Agency (CISA) は、D-Link 製の Wi-Fi カメラおよびビデオ・レコーダーに存在する3件の脆弱性について、実際の悪用が確認されたとして、Known Exploited Vulnerabilities (KEV) カタログに追加した。
今回の KEV 登録の対象となる脆弱性は、以下の3件である。
- CVE-2020-25078 (CVSS:7.5)
D-Link DCS-2530L/DCS-2670L に存在する脆弱性であり、リモートから管理者パスワードが漏洩する可能性がある。 - CVE-2020-25079 (CVSS:8.8)
D-Link DCS-2530L/DCS-2670L に搭載される、cgi-bin/ddns_enc.cgiコンポーネントに存在する、認証を必要とするコマンド・インジェクションの脆弱性。 - CVE-2020-40799 (CVSS:8.8)
D-Link DNR-322L に存在し、整合性のチェックをバイパスしてコードをダウンロードする。設計上の欠陥である。この脆弱性を悪用する認証済みの攻撃者は、標的 デバイス上での OS レベルのコマンド実行を可能にする。
現時点において、これらの脆弱性の詳細な悪用手法は公開されていない。しかし、米連邦捜査局 (FBI) は、2024年12月に公表したアドバイザリにおいて、D-Link 製 Web カメラの CVE-2020-25078 などに対して積極的なスキャンを行う、HiatusRAT キャンペーンの存在を警告している。なお、その当時には、この脆弱性が悪用された証拠は確認されていなかった。
これらの脆弱性が影響を及ぼすモデルのうちの DNR-322L に関しては、2021年11月に製品サポート終了 (EoL) となっており、CVE-2020-40799 に対する修正パッチは提供されていない。現在も同製品を使用している場合は、直ちに利用を中止し、他機種へと置き換えるべきである。
その一方で、他の2件の脆弱性 CVE-2020-25078/CVE-2020-25079 に関しては、2020年に D-Link が修正プログラムを公開している。
これらの脆弱性の悪用が確認されたことを受け、すべての連邦文民行政機関 (FCEB) に対して CISA が義務付けるのは、2025年8月26日までに必要な緩和策を実施し、ネットワークの保護を強化することである。
D-Link 製の Wi-Fi カメラやビデオ・レコーダーに存在する3件の脆弱性が、CISA KEV に登録されました。原因は、いずれも設計や実装上の不備であり、管理者パスワードの漏洩/認証後のコマンド実行/整合性チェックを回避する不正コードを取得などが生じるとされます。ご利用のチームは、ご注意ください。よろしければ、CISA KEV で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.