Cisco、製造終了のVPNルーターに存在するゼロデイRCE脆弱性を修正しないことを発表

Ciscoは、複数の中小企業向けVPNルーターのUniversal Plug-and-Play(UPnP)サービスに存在する重要な脆弱性について、当該機器が製造終了となったことを理由にパッチを提供しないと発表しました。

このゼロデイバグ(追跡番号:CVE-2021-34730、深刻度スコア:9.8/10)は、受信するUPnPトラフィックの不適切な検証に起因するもので、IoT Inspector Research LabのQuentin Kaiser氏によって報告されたものです。

https://tools.cisco.com/security/center/cvssCalculator.x?version=3.1&vector=CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

攻撃者は、これを悪用し脆弱なデバイスを再起動したり、OSのルートユーザーとしてリモートで任意のコードを実行したりすることができます。

“弊社は、このアドバイザリに記載されている脆弱性に対処するためのソフトウェアアップデートをリリースしておらず、今後もリリースする予定はありません”

“Cisco Small Business RV110W、RV130、RV130W、RV215W ルーターは、製造終了プロセスに入りました。”

シスコのウェブサイトでのアナウンスによると、これらのRVシリーズルーターが注文可能な最終日は2019年12月2日となっています。

同社は、これらのルーターモデルをまだ使用しているお客様に対し、セキュリティアップデートをまだ受けられる新しいCisco Small Business RV132W、RV160、またはRV160Wルーターへの移行を呼びかけています。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cisco-sb-rv-overflow-htpymMB5

さらに、同社のProduct Security Incident Response Team(PSIRT)は、このゼロデイの概念実証のエクスプロイトが公開されていることや、このバグを悪用する脅威アクターが実世界で利用されていないとしています。

緩和策

この脆弱性は、RV110W、RV130、RV130W、およびRV215Wの各機種において、UPnPサービスがオンになっている場合にのみ影響します。

シスコ社によると、UPnP はこれらの機器の LAN (ローカルエリアネットワーク) インターフェースでのみデフォルトで有効になっており、すべての WAN (ワイドエリアネットワーク) インターフェースではデフォルトで無効になっています。

LANとWANの両方のインターフェイスでサービスが無効になっていれば、脆弱性があるとは見なされません。

シスコ社は、この重大な脆弱性に対処するためのセキュリティアップデートをリリースする予定はありませんが、ユーザはウェブベースの管理インターフェースを使用して影響を受けるすべてのルーターのUPnPサービスを無効にすることで、攻撃をブロックするための攻撃の可能性を取り除くことができます。

UPnP機能が機器のLANインターフェイスで有効になっているかどうかを確認するには、ウェブベースの管理インターフェイスを開き、「基本設定」>「UPnP」を選択してください。「無効」のチェックボックスがチェックされていなければ、その機器ではUPnPが有効になっています

パッチを待つゼロデイ

Cisco社は2021年7月に公開されたAdaptive Security Device Manager(ADSM)ランチャーの別のリモートコード実行(RCE)バグが、まだセキュリティアップデートを受けていないゼロデイのままであることを明らかにしました。

Cisco Adaptive Security Device Manager(ADSM)、ゼロデイRCEの脆弱性:パッチリリースが必要だがまだリリースされておらず

また、Cisco AnyConnect Secure Mobility Client VPNソフトウェアに存在する別のゼロデイ脆弱性(CVE-2020-3556)については、一般に公開されている概念実証のエクスプロイトコードを認識していたにもかかわらず、最初の公開から6ヶ月後という長期間後にパッチをリリースしています。

遅延の理由は明らかにされていませんが、悪用された形跡がなく、デフォルトの設定では攻撃を受けないため、修正は優先されなかったと言われています。

TwitterでPoCエクスプロイトが公開された直後に、Cisco ASAのバグ(2020年10月に部分的にパッチが適用され、2021年4月に完全に対処される)に襲いかかりました。

Leave a Reply

Your email address will not be published.