Zyxel Releases Patch for Critical Firewall OS Command Injection Vulnerability
2022/05/12 TheHackerNews — Zyxel ファイアウォール・デバイスに影響を及ぼす、認証されていないリモート攻撃者による任意のコード実行の脆弱性に対応するための、同社による取り組みが開始された。木曜日に Zyxel が発表したアドバイザリーは、「ファイアウォール・デバイスの一部のバージョンの CGI プログラムに存在する、コマンド・インジェクションの脆弱性により、攻撃に成功した脅威アクターに対して、特定のファイルの変更や、脆弱なデバイス上での OS コマンドの実行を許す可能性がある」と述べている。
2022年4月13日に、この欠陥を発見/報告したサイバー・セキュリティ企業 Rapid7 によると、この脆弱性の悪用に成功したリモートの未認証の敵対者は、対象となるアプライアンス上の “nobody” ユーザーとして、コードを実行することが可能になるようだ。
この脆弱性 CVE-2022-30525 (CVSS:9.8) は、以下の製品に影響するが、バージョン ZLD V5.30 としてパッチがリリースされている。
- USG FLEX 100(W), 200, 500, 700
- USG FLEX 50(W) / USG20(W)-VPN
- ATP series, and
- VPN series
Rapid 7 は、インターネットに公開されている脆弱な Zyxel デバイスは、少なくとも 1万6213台は存在すると述べている。そして、脅威アクターが悪用の試みを実施するための、魅力的な攻撃ベクターになっていると指摘している。
さらに Rapid 7 は、Zyxel の脆弱性に関連する Common Vulnerabilities and Exposures (CVE) 識別子やセキュリティ・アドバイザリが公表されず、2022年4月28日に修正プログラムを秘密裏に発行された指摘している。その一方で Zyxel は、「情報公開の調整プロセスにおけるコミュニケーション・ミス」だと、アドバイザリで反論している。
Rapid7 の研究者である Jake Baines は、「秘密裏に行われる脆弱性へのパッチ提供は、活発な攻撃者だけを助け、新たに発見された問題の真のリスクについて、防衛者を混乱させる傾向がある」と述べている。
このアドバイザリは、Zyxel の VMG3312-T20A 無線ルーターと AP Configurator において、任意のコード実行にいたる可能性のある、コマンド・インジェクション (CVE-2022-26413)/バッファ・オーバーフロー (CVE-2022-26414)、ローカル権限昇格 (CVE-2022-0556) の脆弱性に対応するものである。
Zyxel に関しては、これまでにも 2022年1月24日の「Zyxel の Firewall と VPN が攻撃されたという警告」や、3月31日の「Zyxel の Firewall/VPN 製品群に深刻な認証バイパスの脆弱性」などの記事があります。また、今回の CVE-2022-30525 ですが、すでに CISA KEV に追加されており、6月6日までの修正が、連邦政府機関に命じられています。Rapid 7 と Zyxel との間で、ちょっと揉めたようですが、仲良くやってほしいですね。
IoT OT Security News 