複数のCisco製小規模環境向けVPNルータにRCE脆弱性

Cisco Systemsが提供する一部小規模環境向けVPNルータに深刻な脆弱性が明らかとなった。ファームウェアのアップデートが提供されている。

「Cisco Small Business RV345」「同RV345P」「同RV340」「同RV340W」のウェブインタフェースにおいて、HTTPリクエストの処理に問題があり、リモートより任意のコードやコマンドを実行されるおそれがある脆弱性「CVE-2021-1609」が明らかとなったもの。

悪用にあたって権限なども必要なく、共通脆弱性評価システム「CVSSv3.1」のベーススコアは、最高値「10」のところ、「9.8」、重要度は4段階中もっとも高い「クリティカル（Critical）」とレーティングされている。

また同じくウェブインタフェースにコマンドインジェクションの脆弱性「CVE-2021-1610」が明らかとなった。認証されたユーザーによって、root権限で任意のコマンドを実行されるおそれがあるという。CVSS基本値は「7.2」で重要度は「高（High）」。

同社では、これら脆弱性を解消したファームウェアのアップデート「バージョン1.0.03.22」をリリースし、利用者に注意を呼びかけている。

（Security NEXT - 2021/08/10 ）ツイート

関連リンク

PR

関連記事

Linuxカーネルに権限昇格の脆弱性「Dirty Pipe」 - PoCも公開にSAP、月例セキュリティパッチ11件を新規リリース - 重要度「Hot News」の脆弱性もNECプラットフォームズ製のワイヤレスVPNルータに脆弱性Adobe、画像や動画処理製品向けにセキュリティアップデート「Firefox 98」がリリースに - 脆弱性7件を解消MS、2月の月例パッチを公開 - 脆弱性71件に対処「WPS Office for Windows」に脆弱性 - 管理者権限奪取のおそれフィルタリング製品「i-FILTER」に脆弱性 - 更新して設定変更を「Firefox」が緊急アップデート - 複数のゼロデイ脆弱性を修正「Cisco Expressway」「Cisco TelePresence VCS」に複数の深刻な脆弱性