米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は2月3日、「Cisco Releases Security Updates for RV Series Routers|CISA」において、シスコシステムズが提供しているルータ「Small Business RVシリーズ」に緊急度の高い複数の脆弱性が報告されていると伝えた。

これらの脆弱性を悪用されると、悪意のある第三者によって、任意のコードやコマンドの実行、特権の昇格、認証や承認の回避といった攻撃を受ける危険性がある。

該当する脆弱性に関する情報は、シスコによる次のセキュリティアドバイザリにまとめられている。

  • Cisco Small Business RV Series Routers Vulnerabilities

    Cisco Small Business RV Series Routers Vulnerabilities

影響を受けるとされている製品は次のとおり。

  • RV160 VPN Routers
  • RV160W Wireless-AC VPN Routers
  • RV260 VPN Routers
  • RV260P VPN Routers with PoE
  • RV260W Wireless-AC VPN Routers
  • RV340 Dual WAN Gigabit VPN Routers
  • RV340W Dual WAN Gigabit Wireless-AC VPN Routers
  • RV345 Dual WAN Gigabit VPN Routers
  • RV345P Dual WAN Gigabit POE VPN Routers

これらの製品では、今回報告されている脆弱性を悪用されることで、次の攻撃を受ける可能性があるという。

  • 任意のコード実行
  • 特権の昇格
  • 任意のコマンド実行
  • 認証および承認機能のバイパス
  • 署名されていないソフトウェアの取得および実行
  • サービス運用妨害(DoS)攻撃

報告されている脆弱性の追跡IDは次のとおり。それぞれの詳細は、シスコのセキュリティアドバイザリのDetailsセクションに掲載されている。

  • CVE-2022-20699
  • CVE-2022-20700
  • CVE-2022-20701
  • CVE-2022-20702
  • CVE-2022-20703
  • CVE-2022-20704
  • CVE-2022-20705
  • CVE-2022-20706
  • CVE-2022-20707
  • CVE-2022-20708
  • CVE-2022-20709
  • CVE-2022-20710
  • CVE-2022-20711
  • CVE-2022-20712
  • CVE-2022-20749

脆弱性の深刻度を表すCVSS v3ベーススコアは最高値の10.0で、該当する製品を使用しているユーザーは早急に対処する必要がある。シスコからは、これらの脆弱性に対処するソフトウェアアップデートがリリースされている。

なお、Ciscoからは上記の他にも、深刻度「Medium(中程度)」とされる脆弱性に関する複数のセキュリティアドバイザリがリリースされている。