Zyxel の Firewall/VPN 製品群に深刻な認証バイパスの脆弱性

Zyxel patches critical bug affecting firewall and VPN devices

2022/03/31 BleepingComputer — ネットワーク機器メーカーの Zyxel は、同社のビジネスグレード・ファイアウォールおよび VPN 製品のファームウェアをアップデートし、攻撃者による対象機器の管理者レベルへのアクセスという深刻な脆弱性に対処した。Zyxel のセキュリティ勧告は、USG/ZyWALL/USG FLEX/ATP/VPN/NSG (Nebula Security Gateway) シリーズの製品を対象としている。

影響を受ける Firewall と VPN

この脆弱性 CVE-2022-0342 は、攻撃者が認証なしで悪用し、機器への管理アクセスを得ることができるという極めて深刻なものだ。米国の National Institute of Standards and Technology (NIST) は、現時点で深刻度の評価を行っていないが、Zyxel の評価では CVSS 値 9.8 となっている。

Zyxel は、「一部のファイアウォールのバージョンにおける CGI プログラムに、不適切なアクセス制御機構に起因する認証バイパスの脆弱性が発見された。この欠陥により、攻撃者は認証をバイパスし、機器の管理者権限を取得できる可能性がある」と述べている。この脆弱性は、現在も同社がサポートしている、以下の製品のファームウェアに存在する。

  • USG/ZyWALL series firmware versions 4.20 through 4.70
  • USG FLEX series firmware versions 4.50 through 5.20
  • ATP series firmware versions 4.32 through 5.20
  • VPN series firmware versions 4.30 through 5.20
  • NSG series firmware versions V1.20 through V1.33 Patch 4

    NSG シリーズ製品については、ホット・フィックスがリリースされており、2022年5月に標準パッチを展開する予定とされる。上記のハードウェア・デバイスは、小規模または中規模の環境で、ローカル/リモートのネットワーク・アクセスと、マルウェア/フィッシングから保護するためのセキュリティ・コンポーネントを組み合わせて使用される。

    この脆弱性 CVE-2022-0342 を発見/報告したのは、Tecnical Service Srl のAlessandro Sgreccia と、Innotec Security の Roberto Garcia H/Victor Garcia R である。

    Zyxel は、「最適な保護を実現するために、更新されたファームウェアをインストールするよう、顧客に助言している。現時点では、CVE-2022-0342 が攻撃に悪用されているという公的な報告はない」と述べている。

Zyxel の問題に関する記事としては、2021年6月の「Zyxel の Firewall と VPN が攻撃されたという警告」と、2021年8月の「Realtek Wi-Fi SDK の脆弱性は 100万台の IoT デバイスに影響をおよぼす」という記事がありました。また、ファイアウォールを対象にすると、最近では3月27日の「Sophos Firewall の深刻な脆弱性 CVE-2022-1040 が FIX:認証回避による RCE」と、3月28日の「SonicWall ファイアウォールにおける深刻な DoS 脆弱性 CVE-2022-22274 が FIX」などがありました。よろしければ、ご参照ください。

%d bloggers like this: