Trusted Design

CVE-2019-1653 の詳細

CVEの情報

説明:
A vulnerability in the web-based management interface of Cisco Small Business RV320 and RV325 Dual Gigabit WAN VPN Routers could allow an unauthenticated, remote attacker to retrieve sensitive information. The vulnerability is due to improper access controls for URLs. An attacker could exploit this vulnerability by connecting to an affected device via HTTP or HTTPS and requesting specific URLs. A successful exploit could allow the attacker to download the router configuration or detailed diagnostic information. Cisco has released firmware updates that address this vulnerability.

CVE更新日: 2019-01-24 16:29:00.317000

CVSSバージョン: 3.1

CVSSスコア: 7.5

KEVの情報

KEV更新日: 2021-11-03

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.943850000

EPSS更新日: 2026-04-16 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: True

AIを使った解説

解説:

CVE-2019-1653について、以下の観点から解説します。

1. 脆弱性の概要

Cisco Small Business RV320およびRV325デュアルギガビットWAN VPNルーターのウェブベースの管理インターフェースに存在する情報漏えいの脆弱性です。この脆弱性は、URLに対する不適切なアクセス制御に起因します。認証されていないリモートの攻撃者が、HTTPまたはHTTPS経由で対象デバイスに接続し、特定のURLを要求することでこの脆弱性を悪用できます。悪用に成功すると、攻撃者はルーターの設定や詳細な診断情報をダウンロードできる可能性があります。

1.1 影響

攻撃者は、ルーターの完全な設定情報、詳細な診断情報、デバイスのユーザー名、ハッシュ化されたパスワード、内部ネットワークの詳細、および潜在的なVPN接続のシークレットなどを取得できる可能性があります。 この情報開示は、他の攻撃に繋がる可能性があります。

1.2 深刻度

  • CVSSv3.x ベーススコア: 7.5 (High)
    • Vector String: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
      • 攻撃元区分 (AV): ネットワーク (N)
      • 攻撃条件の複雑さ (AC): 低 (L)
      • 必要な特権レベル (PR): 不要 (N)
      • ユーザー関与 (UI): 不要 (N)
      • 機密性への影響 (C): 高 (H)
      • 完全性への影響 (I): なし (N)
      • 可用性への影響 (A): なし (N)
  • CVSSv2.0 ベーススコア: 5.0 (Medium)
  • CWE: CWE-284: 不適切なアクセス制御 (Improper Access Control)、CWE-200: 情報の公開 (Information Exposure)

2. 対象となる環境

  • 製品: Cisco Small Business RV320 Dual Gigabit WAN VPN ルータ、Cisco Small Business RV325 Dual Gigabit WAN VPN ルータ

2.1 影響を受けるOSバージョン

この脆弱性は、ルーターのファームウェアの脆弱性であり、特定のOSバージョンに起因するものではありません。

2.2 影響を受ける設定

この脆弱性は、Cisco Small Business RV320およびRV325ルーターでウェブベースの管理インターフェースが有効になっている場合に影響を受けます。 具体的には、HTTPサーバー機能が有効になっている場合です。これは、CLIでshow running-config | include http (secure|server)コマンドを使用し、ip http serverまたはip http secure-serverコマンドの有無を確認することで判断できます。

3. 影響を受けた時の兆候

  • 攻撃者がルーターの設定ファイルや詳細な診断情報をダウンロードしている可能性があります。
  • Rapid7 Labsは、Project Heisenbergを介してこれらのデバイスに対する機会主義的なプローブを実行している悪意のあるソースを検出しています。
  • デバイスが露出しているかどうかは、デバイスのIPアドレスをaa.bb.cc.ddに置き換え、http://aa.bb.cc.dd/cgi-bin/config.expに認証なしでアクセスし、その結果を調べることで確認できます。

4. 推奨対策

4.1 本対策

Ciscoからリリースされているファームウェアアップデートを適用してください。 この脆弱性に対する最初の修正は不完全であることが判明しており、ファームウェアリリース 1.4.2.22 で完全に修正されました。 サービス契約のあるお客様は、通常のアップデートチャネルを通じてセキュリティ修正プログラムを入手してください。

4.2 暫定回避策(緩和策)

この脆弱性に対処する回避策はありません。 ただし、ウェブ管理ポート(デフォルトのHTTPSポート443/TCPまたは一般的な代替HTTPSポート8443/TCPなど)は、デフォルトで公開せず、必要な場合にのみ有効にすることが理想的です。 これは直接的な回避策ではありませんが、攻撃に晒されるリスクを減らすことができます。

他に解説すべき観点

  • 公開日: 2019年1月23日 (Cisco Security Advisory) / 2019年1月24日 (NVD)
  • 悪用事例: この脆弱性は、実際の攻撃で悪用されています。
  • 関連する脆弱性: この脆弱性(CVE-2019-1653)は、認証されたリモート攻撃者が任意のコマンドを実行できるCVE-2019-1652と組み合わせて悪用される可能性があります。

参照サイト

NVDサイト

NVDでCVEの詳細を見る

戻る