シスコの複数のルータに緊急の脆弱性もパッチはなし、確認と対応を

Cisco Systemsはこのほど、「Cisco Small Business RV016, RV042, RV042G, and RV082 Routers Vulnerabilities」において、同社の中小企業向けルータであるCisco Small Business RV016、RV042、RV042G、RV082ルータに2件の脆弱性があると伝えた。この脆弱性を悪用すると、リモートで認証が回避され、影響を受けるデバイスの基盤となるオペレーティングシステムで任意のコマンドを実行できる危険性があると報告されている。

Cisco Systemsの複数のルータで使用されているWebベースの管理インタフェースに複数の脆弱性があることが明らかとなった。影響を受ける製品は次のとおり。

RV016 Multi-WAN VPNルータ
RV042 Dual WAN VPNルータ
RV042G Dual Gigabit WAN VPNルータ
RV082 Dual WAN VPNルータ

セキュリティアドバイザリで報告されている脆弱性は次のとおり。

CVE-2023-20025:Cisco Small Business RV016、RV042、RV042G、RV082 ルータにおける認証回避の脆弱性
CVE-2023-20026: Cisco Small Business RV016, RV042, RV042G, RV082 ルータのリモートコード実行(RCE: Remote Code Execution)の脆弱性

特にCVE-2023-20025は深刻度が緊急（Critical）に分類されており注意が必要。なお、脆弱性が存在するプロダクトはすでにライフサイクルが終了しているため、パッチの提供は行われない。また、この問題を回避する方法も存在しないとされている。ただし、問題の回避はできないが、設定を変更することで緩和策とすることはできることが説明されている。

Cisco Systemsは公開されたセキュリティアドバイザリの情報をチェックするとともに、必要に応じて緩和策を実施するよう推奨している。なお、緩和先は抜本的な対策とはならない。基本的にはサポートが提供されている製品へ移行することが望まれる。