米CISAが台湾メーカー、D-Link社のネットワークカメラ等製品の既知の脆弱性をKEV(悪用された脆弱性)カタログに追加しました。アメリカの連邦政府機関に重大なリスクをもたらすとしており、8月26日までに修正することを関係機関に義務付けています。
いずれも技術サポートが終了している製品
CISAがKEVに追加した既知の脆弱性は、CVE-2020-25078、CVE-2020-25079とCVE-2022-40799の3件で、いずれも過去に公開されている脆弱性です。CVE-2020-25078は屋内用Wi-Fi監視カメラのDCS-2530Lと屋外にも対応するWi-Fi監視カメラのDCS-2670Lにおいてリモート管理者のパスワードが第三者に漏洩する可能性がある脆弱性です。また、CVE-2020-25079はDCS-2530LとDCS-2670Lに影響を与える認証済みコマンドインジェクションの脆弱性です。この2つの機器はすでに生産が終了しておりサポートも行われていません。継続して使用している場合はファームウェアを更新するか代替機への交換が求められるということです。
また、CVE-2022-40799はネットワークビデオレコーダー、DNR-322Lに関する脆弱性で認証済みの攻撃者がOSレベルの任意のコマンドを実行することが可能になる恐れがあるということです。DNL-322Lは防犯や監視のために設置された複数のネットワークカメラの映像を受信して録画、再生、管理を行うための機器です。CVE-2022-40799の公開時、DNL-322Lの技術サポートはすでに終了していたことからD-LinkによるCVE-2022-40799の脆弱性対策は行われていないようですので、セキュリティ上、この機器を継続して使用することはリスクが大きく、使用を中止することがもっとも賢明な対応となるようです。
新たな脆弱性CVE-2025-7206も
CISAがCVE-2020-25078、CVE-2020-25079、CVE-2022-40799をKEVに追加した詳しい経緯は承知していませんが、これらの脆弱性を悪用した具体的な攻撃を確認していることからKEVへの追加になったと考えられます。CISAは昨年9月にD-LinkのルーターのOSコマンドインジェクションの脆弱性CVE-2023-25280をKEVに追加していますが、Unit42によると、この脆弱性はMiraiボットネットの亜種の拡散に悪用されていたようです。
また、D-Linkの製品に関しては、新たにCVE-2025-7206が今年7月に公開されています。これはDIR-825に影響する脆弱性です。DIR-825は家庭や小規模オフィス向けのWi-Fiルーターです。この脆弱性のCVSSスコアは9.3~10と非常に高く極めて深刻な脆弱性です、未認証のリモートからの攻撃が可能なことに加え、ゼロクリック型の攻撃も可能だということです。フィッシングメールを開くとか、URLをクリックするなど被害者側の操作を前提とするサイバー攻撃に対して、被害者側の操作を必要としないサイバー攻撃をゼロクリック型と呼ぶようです。DIR-825の技術サポートが終了していることからD-Linkによる修正パッチは提供されていないようですのでサポートされている機種に変更するなどの対応が必要です。
■出典
https://unit42.paloaltonetworks.com/ja/mirai-variant-targets-iot-exploits/