CISA、D-Link製EOL監視カメラ等に関する3件の深刻な脆弱性を既知の悪用済み脆弱性カタログに追加

セキュリティニュース

投稿日時: 更新日時:

CISA、D-Link製EOL監視カメラ等に関する3件の深刻な脆弱性を既知の悪用済み脆弱性カタログに追加

2025年8月5日、米国のCISA(Cybersecurity and Infrastructure Security Agency)は、D-Link製の旧型ネットワーク機器に存在する3件の脆弱性が実際に悪用されている証拠が確認されたとして、これらを「既知の悪用済み脆弱性(Known Exploited Vulnerabilities:KEV)カタログ」に追加しました。

対象となる脆弱性は以下の通りです

  • CVE-2020-25078:D-Link DCS-2530L および DCS-2670L の認証不要の情報漏えい脆弱性

  • CVE-2020-25079:同上デバイスに存在するコマンドインジェクション脆弱性(要認証)

  • CVE-2022-40799:D-Link DNR-322L の整合性チェック不備による任意コード実行脆弱性

問題の背景:EOL製品と残存リスク

今回対象となったD-Link製品はいずれも**すでにサポート終了(EOL:End of Life)**しており、メーカーからのセキュリティアップデート提供が行われていない状態です。しかし、依然として多くの組織・個人ユーザーが使用していることが確認されており、悪意のある攻撃者にとっては格好の標的となっています。

CVE-2020-25078(CVSS不明)

この脆弱性は、D-Link DCS-2530L および DCS-2670L における /config/getuser エンドポイントが認証なしでアクセス可能であり、管理者パスワードが漏洩するという致命的な設計ミスに起因しています。攻撃者はこのエンドポイントを通じてパスワードを取得し、次の段階の攻撃に進むことが可能になります。

CVE-2020-25079(CVSS不明)

この脆弱性は、同じく DCS-2530L および DCS-2670L に搭載されている cgi-bin/ddns_enc.cgi におけるコマンドインジェクションです。認証後の攻撃が必要とはいえ、前述のCVE-2020-25078によって管理者権限を得られてしまえば、容易に悪用される「第二段階」の脆弱性となり得ます。

CVE-2022-40799(CVSS不明)

この脆弱性は、D-Link DNR-322L(ネットワークビデオレコーダー)に搭載されたバックアップ/リストア機能の不備を突いたものです。悪意あるスクリプトを rc.init.sh に注入することで、再起動時に任意コードを実行できるようになります。しかも、PoC(概念実証コード)が公開済みであるため、現実の攻撃に利用されるリスクが極めて高いとされています。

CISAの対応と義務化された対処期限

これらの脆弱性は、CISAが発行する**「運用命令BOD 22-01(Binding Operational Directive)」**の対象にも指定され、連邦政府のFCEB(Federal Civilian Executive Branch)機関は2025年8月26日までに対処を完了することが義務づけられました

対象機関では、当該機器のファームウェア更新、もしくは速やかな機器の廃棄・交換が求められます。

なおCISAは、政府機関以外の企業・組織・一般ユーザーに対しても、「KEVカタログ」に掲載された脆弱性については早急に対処・除去することを強く推奨しています。

D-Linkの対応と推奨事項

D-Linkはすでに対象デバイスについて、以下のファームウェアで修正を行っています:

  • DCS-2530L:v1.07.00

  • DCS-2670L:v2.03.00

しかし、これら製品を含むDCS-4603、DCS-4622、DNR-322Lなど多くのデバイスは公式にEOL/EOS状態であり、D-Linkは以下のように警告しています:

「すべてのハードウェアはライフサイクル終了(EOL / EOS)に達しており、速やかな退役・交換が推奨されます」

まとめ:組織内のEOL機器を棚卸しすべき時

今回CISAが警告を発した3件の脆弱性は、いずれも実際に悪用されていることが確認されたものであり、特に監視カメラやNVRといったIoTデバイスは、企業ネットワークのセキュリティ上の「抜け穴」になりやすい存在です。

情報システム部門は、EOL状態の機器がネットワークに接続され続けていないか、また当該機器に対してセグメント分離・監視設定などがなされているかを改めて棚卸・確認する必要があります。