シスコは本日、複数の生産終了(EoL)VPN ルータに影響を与える公開エクスプロイト コードによる重大な認証バイパスの脆弱性についてお客様に警告しました。
セキュリティ上の欠陥 (CVE-2023-20025) は、Qihoo 360 Netlab の Hou Liuyang によって、Cisco Small Business RV016 、 RV042、RV042G 、およびRV082ルーターの Web ベースの管理インターフェイスで発見されました。
これは、着信 HTTP パケット内のユーザー入力の不適切な検証が原因で発生します。認証されていない攻撃者は、特別に細工された HTTP 要求を脆弱なルーターの Web ベースの管理インターフェイスに送信して認証をバイパスすることにより、リモートで悪用することができます。
悪用に成功すると、root アクセス権を取得できます。 CVE-2023-2002 として追跡されている別の脆弱性 (これもシスコが本日公開) と連鎖させることで、基盤となるオペレーティング システムで任意のコマンドを実行できます。
これを重大な重大度のバグと評価し、製品セキュリティ インシデント対応チーム (PSIRT) チームは、概念実証用のエクスプロイト コードが実際に出回っていることを認識していると述べていますが、シスコは、「ソフトウェア アップデートをリリースしておらず、リリースする予定もありません」と述べています。この脆弱性に対処してください。」
幸いなことに、Cisco PSIRT は、この脆弱性が攻撃で悪用されていることを示唆する証拠を発見していません。
攻撃をブロックするために管理インターフェイスを無効にする
RV016 および RV082 WAN VPN ルーターが最後に販売されたのは 2016 年 1 月と 5 月でしたが、RV042 および RV042G VPN ルーターが注文可能になった最終日は 2020 年 1 月 30 日であり、2025 年 1 月 31 日まで引き続きサポートされます。
この脆弱性に対処する回避策はありませんが、管理者は、脆弱なルーターの Web ベースの管理インターフェイスを無効にし、ポート 443 および 60443 へのアクセスをブロックして、悪用の試みを阻止することができます。
これを行うには、各デバイスの Web ベースの管理インターフェイスにログインし、[ファイアウォール] > [全般] に移動して、[リモート管理] チェック ボックスをオフにする必要があります。
本日公開されたセキュリティ アドバイザリで、シスコはポート 443 および 60443 へのアクセスをブロックするための詳細な手順も提供しています。
影響を受けるルーターは引き続きアクセス可能であり、上記の軽減策を実装した後も LAN インターフェイス経由で構成できます。
9 月、同社は、RV110W、RV130、RV130W、および RV215W EoL ルーターに影響を与える重大な認証バイパスの欠陥を修正しないと述べ、サポート対象の RV132W、RV160、または RV160W ルーターに移行するよう奨励しました。
6 月、Cisco は、やはりパッチが適用されていない重大なリモート コード実行 (RCE) 脆弱性(CVE-2022-20825) を明らかにした後、所有者に新しいルーター モデルに切り替えるよう再度アドバイスしました。
Comments