2025年9月3日Ravie Lakshmanan脆弱性 / モバイルセキュリティ
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は火曜日、TP-Link TL-WA855RE Wi-Fiレンジエクステンダー製品に影響を与える高深刻度のセキュリティ脆弱性を、既知の悪用された脆弱性(KEV)カタログに追加しました。これは、積極的な悪用の証拠があるためです。
この脆弱性CVE-2020-24363(CVSSスコア: 8.8)は、認証が欠如しているケースに関するもので、悪用されると対象デバイスへの権限昇格が可能となります。
「この脆弱性により、認証されていない攻撃者(同じネットワーク上)がTDDP_RESETのPOSTリクエストを送信して工場出荷時リセットおよび再起動を行うことができます」と同庁は述べています。「その後、攻撃者は新しい管理者パスワードを設定することで、不正なアクセス制御を取得できます。」
malwrforensicsによると、この問題はファームウェアバージョンTL-WA855RE(EU)_V5_200731で修正されています。しかし、この製品はサポート終了(EoL)となっており、今後パッチやアップデートが提供される可能性は低いことに注意が必要です。Wi-Fiレンジエクステンダーの利用者は、この問題に対応した新しいモデルへの買い替えが推奨されます。
CISAは、この脆弱性がどのように悪用されているか、誰によるものか、またその攻撃規模については詳細を共有していません。
また、KEVカタログには、WhatsAppが先週公表したセキュリティ脆弱性(CVE-2025-55177、CVSSスコア: 5.4)も追加されました。これはAppleのiOS、iPadOS、macOSの脆弱性(CVE-2025-43300、CVSSスコア: 8.8)と組み合わせて、非常に標的を絞ったスパイウェアキャンペーンの一環として悪用されたものです。
誰が標的となったのか、どの商用スパイウェアベンダーが攻撃の背後にいるのかはほとんど分かっていませんが、WhatsAppはThe Hacker Newsに対し、このキャンペーンの一部として標的となった可能性のある200人未満のユーザーにアプリ内で脅威通知を送信したと述べています。
連邦民間行政機関(FCEB)は、両方の脆弱性に対する積極的な脅威に対応するため、2025年9月23日までに必要な対策を講じることが推奨されています。
翻訳元: https://thehackernews.com/2025/09/cisa-adds-tp-link-and-whatsapp-flaws-to.html