Zyxel Firewall などの4つの脆弱性が FIX:パッチ適用の確認が必要

Zyxel Issues Patches for 4 New Flaws Affecting AP, API Controller, and Firewall Devices

2022/05/17 TheHackerNews — Zyxel は、Firewall/AP Controller などの製品に影響をおよぼす、4つの脆弱性に対処するパッチをリリースした。それらの脆弱性の悪用に成功した攻撃者に対して、任意の OS コマンドの実行や、選択した情報の窃取を許す恐れがある。

セキュリティ脆弱性の一覧は以下の通りである。

  • CVE-2022-0734 :一部の Firewall のバージョンに存在する、クロスサイト・スクリプティング (XSS) の脆弱性により、ブラウザに保存されたクッキー/セッション・トークンなどのユーザの情報に、悪意のスクリプトを介してアクセスされる可能性がある。
  • CVE-2022-26531:Firewall/AP Controller デバイスの一部バージョンの、コマンドライン・インターフェイス (CLI) に存在する不適切な入力検証により、システム・クラッシュが引き起こされる可能性がある。
  • CVE-2022-26532:Firewall/AP Controller デバイスの一部バージョンの、CLI コマンド “packet-trace” に存在する、コマンド・インジェクションの脆弱性により、任意の OS コマンドを実行される可能性がある。
  • CVE-2022-0910:Firewall の一部バージョンに、認証回避の脆弱性が存在する。この脆弱性の悪用に成功した攻撃者により、IPsec VPN クライアント経由で二要素認証から一要素認証にダウングレードされる可能性がある。

Zyxel では、Firewall/AP Controller デバイスに対するソフトウェア・パッチを公開しているが、CVE-2022-26531/CVE-2022-26532 の影響を受ける AP Controller のホット・フィックスを入手する場合は、それぞれの地域の Zyxel サポートチームに連絡する必要がある。

その一方で、Zyxel Firewall の一部のバージョンに存在する、深刻なコマンド・インジェクションの脆弱性(CVE-2022-30525:CVSS 9.8)が活発に悪用されていることを受け、このバグが CISA の Known Exploited Vulnerabilities Catalog に追加されている。

この3月には、3月12日の「Zyxel Firewall 製品群に影響を及ぼす 深刻な OS コマンド実行の脆弱性が FIX」、3月15日の「Zyxel Firewall/VPN の脆弱性 CVE-2022-30525 は広範囲に影響を及ぼす」、3月17日の「CISA 警告 5/16:Spring/Zyxel の深刻な欠陥を悪用脆弱性リストに追加」、3月31日の「Zyxel の Firewall/VPN 製品群に深刻な認証バイパスの脆弱性」といった具合に、Zyxel の脆弱性情報が沢山ありました。ご利用の場合には、それぞれをご確認ください。

%d bloggers like this: