シスコの中小企業向けルーターにXSSの脆弱性 アップデート提供はなし:セキュリティニュースアラート
Ciscoはスモールビジネス向けルーターにクロスサイトスクリプティングの脆弱性が見つかったと報告した。この問題はWeb管理インタフェースの不十分な入力検証に起因しており、攻撃者による不正利用の可能性がある。
Cisco Systems(以下、Cisco)は2024年4月7日(現地時間)、同社のスモールビジネス向けルーターにクロスサイトスクリプティングの脆弱(ぜいじゃく)性が存在すると伝えた。
シスコの中小企業向けルーターに脆弱性 回避策は提供されず
Webベースの管理インタフェースの脆弱性によって、認証されていないリモートの攻撃者がインタフェースのユーザーに対してクロスサイトスクリプティング攻撃を実行する可能性があるとされている。
この脆弱性はWebベースの管理インタフェースによる入力検証が不十分であることに原因があり、サイバー攻撃者は悪意のあるペイロードを含む特定のWebサイトにアクセスするようにユーザーを誘導することでこの脆弱性を不正利用する可能性がある。エクスプロイトに成功すると攻撃者は該当インタフェースのコンテキストで任意のスクリプトコードを実行したり、Webブラウザベースの機密情報にアクセスしたりする可能性がある。
脆弱性の影響を受ける製品は以下の通りだ。
- RV016マルチWAN VPNルーター
- RV042デュアルWAN VPNルーター
- RV042GデュアルギガビットWAN VPNルーター
- RV082デュアルWAN VPNルーター
- RV320デュアルギガビットWAN VPNルーター
- RV325デュアルギガビットWAN VPNルーター
Ciscoはこの脆弱性に対するソフトウェアアップデートを公開しておらず、回避策も提供していない。脆弱性が存在する製品はサポートが終了していることから、次の終了通知を確認するとともに、デバイスの移行に取り組むことが推奨される。
- Cisco RV016 Multi-WAN VPN Router - Retirement Notification - Cisco
- End-of-Sale and End-of-Life Announcement for the Cisco RV042 and RV042G VPN Router(all models) - Cisco
- End-of-Sale and End-of-Life Announcement for the Cisco RV082 Dual WAN VPN Router - Cisco
- End-of-Sale and End-of-Life Announcement for the Cisco RV320 and RV325 Dual Gigabit WAN VPN Router - Cisco
なお、次のスモールビジネス向けルーターシリーズは今回の脆弱性の影響を受けないとされている。
- RV160 VPNルーター
- RV160W Wireless-AC VPNルーター
- RV260 VPNルーター
- RV260P VPNルーター(PoE対応)
- RV260W Wireless-AC VPNルーター
- RV340デュアルWANギガビットVPNルーター
- RV340WデュアルWANギガビットWireless-AC VPNルーター
- RV345デュアルWANギガビットVPNルーター
- RV345PデュアルWANギガビットPoE VPNルーター
回避策は存在しないものの、リモート管理の無効化や、アクセスポートをブロックするといった緩和策は提供されている。なお、緩和策適用後であってもルーターはLANインタフェースを介してアクセスできる。
関連記事
- さくらインターネットのASNで重大なマルウェア活動を確認 HYAS Infosec調査
HYAS Infosecは週次の脅威インテリジェンスレポートを公開した。同レポートではマルウェア発生源となっている自律システムがまとめられており、その中でさくらインターネットのASNが挙がった。 - Linuxカーネルに特権昇格の脆弱性 急ぎ確認とアップデートを
NSFOCUSはLinuxカーネルの特権昇格の脆弱性(CVE-2024-1086)について詳細情報とPoCツールが公開されたとし、影響を受けるユーザーに対して修正されたバージョンへの迅速なアップデートを呼びかけた。 - Rustは「Go」や「C++」と比較して何が優れているのか? Googleエンジニアが語る
Googleは自社の経験を基に、ソフトウェア開発において、プログラミング言語RustがC++と比較して高い生産性と安全性を実現していると報告した。 - 「侵害は防げた」 Microsoftのポカに米政府が激怒した理由
DHSは2023年に起きたMicrosoft Exchange Online侵入事件に関するCSRBの調査結果を公表した。報告書には侵入の経緯と再発防止のための具体的な慣行がまとめられている。
関連リンク
- Cisco RV016 Multi-WAN VPN Router - Retirement Notification - Cisco
- End-of-Sale and End-of-Life Announcement for the Cisco RV042 and RV042G VPN Router (all models) - Cisco
- End-of-Sale and End-of-Life Announcement for the Cisco RV082 Dual WAN VPN Router - Cisco
- End-of-Sale and End-of-Life Announcement for the Cisco RV320 and RV325 Dual Gigabit WAN VPN Router - Cisco
- Cisco Small Business RV016, RV042, RV042G, RV082, RV320, and RV325 Routers Cross-Site Scripting Vulnerability
Copyright © ITmedia, Inc. All Rights Reserved.