Cisco社は、中小企業向けおよびVPNルーターにおける重大な脆弱性を修正しました。これらの脆弱性を悪用されると、認証されていないリモート攻撃者がルートユーザーとして任意のコードを実行できる可能性があります。攻撃者は、悪意のあるHTTPリクエストをWebベースの管理インターフェースに送信するだけで攻撃を仕掛けることができます。
影響を受けるデバイスの中には Wi-Fi ルーターも含まれているため、日常的に使用されている可能性もあります。
シスコは今週、CVE-2021-1289からCVE-2021-1295までのバグに関するアドバイザリで次のように説明しています。
Cisco Small Business VPNルーターRV160、RV160W、RV260、RV260P、RV260Wは、リリース1.0.01.02より前のファームウェアを実行している場合、脆弱性を突かれた攻撃を受ける可能性があります。このバージョンは2021年1月20日に公開され、これらのセキュリティホールを修正しています。CVSSの深刻度は10点満点中9.8点です。
上記のモデルには、CVE-2021-1296とCVE-2021-1297という2つの脆弱性があり、これらを悪用されると「認証されていないリモート攻撃者がディレクトリトラバーサル攻撃を実行し、影響を受けるシステムで制限されているはずの特定のファイルを上書きできる」可能性があります。これらの脆弱性の詳細は、こちらで確認でき、CVSS評価は7.5/10です。
シスコ、VMware vCenterのバグによりハイパーコンバージドTINが「回復不能」な状態になると警告
続きを読む
RVシリーズの他の製品にも問題があります。RV016、RV042、RV042G、RV082、RV320、RV325の各モデルには、Webインターフェースへの入力値の不適切な検証に関連する脆弱性(CVE-2021-1319からCVE-2021-1348まで)が存在します。ここで説明するバグの深刻度は7.2で、それほど深刻ではありません。認証された管理者ユーザーがこれらの脆弱性を悪用すると、デバイスをクラッシュさせたり、ホストOS上でroot権限でコマンドを実行したりする可能性があります。
これらのバグ(CVE-2021-1314 から CVE-2021-1318)についても同様で、これも不適切な HTTP 処理に関連しています。
問題を修正するためのソフトウェア アップグレードが利用可能です。ファームウェア バージョン 4.2.3.14 以前の RV0XX デバイス、および 1.5.1.11 以前の RV32X デバイスには修正が必要です。
中小企業、特にITスタッフや請負業者がいない企業は、デバイス管理が極めて不得手であることが知られています。そのため、RV16シリーズおよび26シリーズのデバイスのほとんどはアップデートされていない可能性があります。現在、多くの人が在宅勤務中にVPNに依存しているため、これは深刻な事態を招く可能性があります。
パッチを当てましょう。とにかくパッチを当てましょう。そして、中小企業の友人たちに、これらのデバイスを導入済みかどうか確認するよう伝えましょう。®
