CVE-2020-37153は、ASTPP 4.0.1に存在するリモートコード実行(RCE)脆弱性です。この脆弱性は、SIPデバイス設定およびプラグイン管理インターフェースにおけるクロスサイトスクリプティングとコマンドインジェクションを悪用することで、攻撃者がシステムコマンドを注入し、管理者権限で任意のコードを実行することを可能にします。影響を受けるバージョンは4.0.1です。最新バージョンへのアップデートにより、この脆弱性は修正されています。
この脆弱性を悪用されると、攻撃者はASTPPサーバ上で任意のコマンドを実行できる可能性があります。これにより、機密情報の窃取、システムの改ざん、さらにはネットワーク全体への攻撃の踏み台として利用されるリスクがあります。特に、cronタスクの操作を通じて、攻撃者はシステム起動時に自動的に悪意のあるコードを実行させることが可能となり、深刻な被害をもたらす可能性があります。この脆弱性は、Log4Shellのようなサプライチェーン攻撃の起点となる可能性も否定できません。
この脆弱性は、2026年2月11日に公開されました。現時点では、KEVに登録されていませんが、CVSSスコアがCRITICALであるため、悪用される可能性は高いと考えられます。公開されているPoCは確認されていませんが、コマンドインジェクションの脆弱性であるため、攻撃者による悪用が想定されます。NVDおよびCISAの情報を常に監視し、最新の脅威動向を把握することが重要です。
Organizations utilizing ASTPP 4.0.1 for SIP device management are at significant risk. This includes VoIP providers, contact centers, and businesses relying on ASTPP for telephony infrastructure. Systems with exposed ASTPP interfaces and inadequate access controls are particularly vulnerable.
• linux / server:
journalctl -u astpp | grep -i "command injection"• generic web:
curl -I <ASTPP_URL>/sip_config.php | grep -i "X-Content-Type-Options"• linux / server:
lsof -i :5060 | grep astppdisclosure
エクスプロイト状況
EPSS
0.15% (35% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずASTPPを最新バージョンにアップデートすることが最も重要です。アップデートが困難な場合は、SIPデバイス設定やプラグイン管理インターフェースへのアクセスを厳格に制限し、不要な機能は無効化することを推奨します。Webアプリケーションファイアウォール(WAF)やリバースプロキシを導入し、悪意のあるリクエストを検知・遮断することも有効です。また、システムログを監視し、不審なアクティビティを早期に発見できるようにする必要があります。アップデート後、システムを再起動し、設定が正常に適用されていることを確認してください。
ASTPPを4.0.1より後のバージョンにアップデートし、クロスサイトスクリプティング (XSS) およびコマンドインジェクションの脆弱性を修正してください。最新バージョンとアップデート手順については、ASTPPの公式ウェブサイトを参照してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2020-37153は、ASTPP 4.0.1におけるリモートコード実行(RCE)脆弱性です。SIPデバイス設定やプラグイン管理インターフェースでコマンドインジェクションが発生し、攻撃者が任意のコードを実行できる可能性があります。
はい、ASTPP 4.0.1を使用している場合、この脆弱性によりシステムが乗っ取られる可能性があります。機密情報の窃取、システムの改ざん、ネットワークへの攻撃の踏み台として利用されるリスクがあります。
ASTPPを最新バージョンにアップデートすることが最も効果的な対策です。アップデートが困難な場合は、アクセス制限やWAFの導入などの緩和策を講じることを推奨します。
現時点では、活発な悪用事例は確認されていませんが、CVSSスコアがCRITICALであるため、悪用される可能性は高いと考えられます。
ASTPPの公式アドバイザリは、ASTPPのウェブサイトまたは関連するセキュリティ情報サイトで確認できます。