CiscoのRVシリーズルーターに深刻度「緊急」の脆弱性 一時回避策など提供されず

Ciscoがスモールビジネス向けに提供しているRVシリーズルーターに複数の脆弱性が見つかった。脆弱性の深刻度は「緊急」（Critical）と評価されており注意が必要だ。一時回避策などは提供されておらず、迅速なアップデートが求められる。

[後藤大地，有限会社オングス]

　Cisco Systems（以下、Cisco）は2022年8月3日（現地時間）、同社のブログでルーター製品「Cisco Small Business RV」シリーズにリモートから任意のコードが実行できたり、サービス妨害攻撃（DoS：Denial of Service attack）を引き起こしたりする複数の脆弱（ぜいじゃく）性が存在すると伝えた。

　これらの脆弱性は問題を一時的に回避する方法が提供されておらず、迅速にアップデートを適用する必要がある。

Ciscoは同社のルーター製品「Cisco Small Business RV」シリーズに脆弱性が存在すると伝えた（出典：CiscoのWebサイト）

脆弱性と影響を受けるプロダクトは

　今回見つかった脆弱性の詳細は以下の通りだ。

• CVE-2022-20842：深刻度「緊急」（Critical）。リモートコード実行およびサービス運用妨害の脆弱性。Webベース管理インタフェースに脆弱性が存在する。細工したHTTP入力を送信することで、root権限で任意のコードを実行したりデバイスをリロードすることが可能
• CVE-2022-20827：深刻度「緊急」（Critical）。コマンドインジェクションの脆弱性。Webフィルターデータベース更新機能に脆弱性が存在しており、認証されていないユーザーがリモートからコマンドインジェクションを実行し、root権限でコマンドを実行する可能性がある
• CVE-2022-20841：深刻度「重要」（High）。コマンドインジェクションの脆弱性。オープンプラグ＆プレイモジュールに脆弱性が存在しており、認証されていないユーザーがリモートからコマンドインジェクションを実行し、任意のコマンドを実行する可能性がある

　CVE-2022-20827およびCVE-2022-20841の影響を受ける製品は以下の通りだ。

• RV160 VPNルーター
• RV160W Wireless-AC VPNルーター
• RV260 VPNルーター
• RV260P VPNルーター（PoE）
• RV260W Wireless-AC VPNルーター
• RV340 Dual WAN Gigabit VPNルーター
• RV340W Dual WAN Gigabit Wireless-AC VPNルーター
• RV345 Dual WAN Gigabit VPNルーター
• RV345P Dual WAN Gigabit POE VPNルーター

　CVE-2022-20842の影響を受けるとされるプロダクトは以下の通りだ。

• RV340 Dual WAN Gigabit VPNルーター
• RV340W Dual WAN Gigabit Wireless-AC VPNルーター
• RV345 Dual WAN Gigabit VPNルーター
• RV345P Dual WAN Gigabit POE VPNルーター

　今回の脆弱性に対して一時的に問題を回避する方法は提供されていない。該当する製品を使用している際には、迅速に問題が修正された最新版にアップデートしてほしい。