米国サイバーセキュリティ機関CISAは、TP-Link TL-WA855RE Wi-Fi中継器製品における認証欠如の脆弱性が攻撃に悪用されているとして、新たな警告を発表しました。
CVE-2020-24363(CVSSスコア8.8)として追跡されているこの脆弱性は、重要な機能に対する認証が欠如している問題であり、同じネットワーク上の攻撃者が認証なしに工場出荷時リセットや再起動のリクエストを送信できると説明されています。
「攻撃者はその後、新しい管理者パスワードを設定することで、不正なアクセス制御を取得することができます」とNISTのアドバイザリには記載されています。
2020年8月、malwrforensicsは警告を発し、このデバイスのWebインターフェースは管理者権限へのアクセスに認証を要求するものの、認証されていない攻撃者がTDDP_RESETのPOSTリクエストを送信することで、その仕組みを回避できると指摘しました。
「しかし、攻撃者はこれをバイパスし、認証のないTDDP_RESETコードを送信できるAPIを利用することが可能です」とmalwrforensicsは述べています。
TP-Linkはこの脆弱性を約5年以上前にファームウェア(EU)_V5_200731で修正しており、その後も中継器向けに複数のファームウェアアップデートをリリースしています。しかし、TL-WA855RE中継器は現在、同社ウェブサイト上で販売終了製品としてマークされています。
火曜日、CISAはCVE-2020-24363を既知の悪用脆弱性(KEV)カタログに、最近公開されたWhatsAppのゼロデイとともに追加し、連邦機関に対して両方の対処を9月23日までに行うよう促しています。
「影響を受ける製品は、サポート終了(EoL)またはサービス終了(EoS)となっている可能性があります。ユーザーは製品の利用を中止してください」とCISAはCVE-2020-24363の説明で述べています。
広告。スクロールして続きをお読みください。
CISAの警告以前に、このCVEが実際に悪用されたという報告はないようですが、この脆弱性を標的とした概念実証(PoC)エクスプロイトコードは2020年7月から公開されています。
関連記事: Sangoma、FreePBXサーバーをハッキングするために悪用された重大なゼロデイを修正
関連記事: Appleユーザーを標的とした攻撃で悪用されたWhatsAppゼロデイ