シスコの中小企業向けルーターにXSSの脆弱性 アップデート提供はなし：セキュリティニュースアラート

Ciscoはスモールビジネス向けルーターにクロスサイトスクリプティングの脆弱性が見つかったと報告した。この問題はWeb管理インタフェースの不十分な入力検証に起因しており、攻撃者による不正利用の可能性がある。

[後藤大地，有限会社オングス]

　Cisco Systems（以下、Cisco）は2024年4月7日（現地時間）、同社のスモールビジネス向けルーターにクロスサイトスクリプティングの脆弱（ぜいじゃく）性が存在すると伝えた。

シスコの中小企業向けルーターに脆弱性　回避策は提供されず

　Webベースの管理インタフェースの脆弱性によって、認証されていないリモートの攻撃者がインタフェースのユーザーに対してクロスサイトスクリプティング攻撃を実行する可能性があるとされている。

　この脆弱性はWebベースの管理インタフェースによる入力検証が不十分であることに原因があり、サイバー攻撃者は悪意のあるペイロードを含む特定のWebサイトにアクセスするようにユーザーを誘導することでこの脆弱性を不正利用する可能性がある。エクスプロイトに成功すると攻撃者は該当インタフェースのコンテキストで任意のスクリプトコードを実行したり、Webブラウザベースの機密情報にアクセスしたりする可能性がある。

　脆弱性の影響を受ける製品は以下の通りだ。

• RV016マルチWAN VPNルーター
• RV042デュアルWAN VPNルーター
• RV042GデュアルギガビットWAN VPNルーター
• RV082デュアルWAN VPNルーター
• RV320デュアルギガビットWAN VPNルーター
• RV325デュアルギガビットWAN VPNルーター

　Ciscoはこの脆弱性に対するソフトウェアアップデートを公開しておらず、回避策も提供していない。脆弱性が存在する製品はサポートが終了していることから、次の終了通知を確認するとともに、デバイスの移行に取り組むことが推奨される。

• Cisco RV016 Multi-WAN VPN Router - Retirement Notification - Cisco
• End-of-Sale and End-of-Life Announcement for the Cisco RV042 and RV042G VPN Router（all models） - Cisco
• End-of-Sale and End-of-Life Announcement for the Cisco RV082 Dual WAN VPN Router - Cisco
• End-of-Sale and End-of-Life Announcement for the Cisco RV320 and RV325 Dual Gigabit WAN VPN Router - Cisco

　なお、次のスモールビジネス向けルーターシリーズは今回の脆弱性の影響を受けないとされている。

• RV160 VPNルーター
• RV160W Wireless-AC VPNルーター
• RV260 VPNルーター
• RV260P VPNルーター（PoE対応）
• RV260W Wireless-AC VPNルーター
• RV340デュアルWANギガビットVPNルーター
• RV340WデュアルWANギガビットWireless-AC VPNルーター
• RV345デュアルWANギガビットVPNルーター
• RV345PデュアルWANギガビットPoE VPNルーター

　回避策は存在しないものの、リモート管理の無効化や、アクセスポートをブロックするといった緩和策は提供されている。なお、緩和策適用後であってもルーターはLANインタフェースを介してアクセスできる。