Vulnerability in Zyxel firewalls may soon be widely exploited (CVE-2023-28771)
2023/05/22 HelpNetSecurity — 先日に修正された、Zyxel ファイアウォールに存在するコマンド・インジェクションの脆弱性 CVE-2023-28771 が、近い将来において野放し状態で悪用される可能性があると、Rapid7 の研究者たちが警告を発している。彼らは、この脆弱性をトリガーして、リバース root シェルへといたる、PoC スクリプトも公開している。
CVE-2023-28771 について
CVE-2023-28771 から生じる影響は、以下に示すとおりである:
- Zyxel APT/USG FLEX/VPN Firewall: ZDL ファームウェア v4.60〜v5.35 が動作している場合
- Zyxel ZyWALL/USG Gateway/Firewall:ZLD ファームウェア v4.60~v4.73 が操作している場合
これらのファイアウォール・デバイスは、ネットワーク・トラフィック監視/制御および、VPN/SSL の検査機能を持ち、マルウェアなどの脅威に対する保護機能を担っている。
この脆弱性 CVE-2023-28771 は、不適切なエラー・メッセージの処理に起因しており、脆弱なデバイスの WAN インターフェースのポート 500 へ向けて、特別に細工した UDP パケットを送信することで誘発される。その結果として、攻撃者が root ユーザーとして OS コマンドを実行できるようになる。
Rapid7 の研究者たちは、「このデバイスの IPSec VPN サービスの一部を構成する、Internet Key Exchange (IKE) パケット・デコーダのコンポーネントに脆弱性が存在する。しかし、VPN がデバイス上で設定されていなくても、対象となるデバイスは脆弱である」と指摘している。
この脆弱性は武器化しやすく、悪用を成功させるために、事前の認証は必要ない。
研究者たちは、「2023年5月19日の時点で、脆弱性 CVE-2023-28771 は野放し状態で悪用されていないが、それは変化すると予想している」と指摘している。
パブリックなインターネットに公開されている、Zyxel の Web インターフェースのインスタンス数は、約 42,000 件もある。しかし、この数値は、脆弱な VPN を実装していないケースを指すものであり、実際の露出数は、さらに多くなる可能性がある。
あなたは何をすべきか?
この脆弱性は、TRAPA Security の研究者により発見/報告され、2023年4月の時点で Zyxel は ZLD v5.36 と ZLD v4.73 Patch 1 をリリースしている。
この脆弱性を持つデバイスの管理者に対しては、可能な限り早急な、最新ファームウェアへのアップデートにアップグレードが推奨される。また、ファームウェアの自動更新を有効にすることも、良いアイデアだと言える。
このコマンド・インジェクションの脆弱性 CVE-2023-28771 ですが、2023/04/28 の「Zyxel Firewall の RCE 脆弱性 CVE-2023-28771 などが FIX:直ちにパッチ適用を!」で、すでにお伝えしています。Rapid7 により PoC エクスプロイトが提供されたようなので、迅速なパッチの適用を検討してください。よろしけば、以下の関連記事も、ご参照ください。
2022/09/06:Zyxel NAS ファームウェアの深刻な RCE 脆弱性
2022/05/17:Zyxel Firewall などの4つの脆弱性が FIX
2022/05/15:Zyxel Firewall/VPN の脆弱性 CVE-2022-30525
IoT OT Security News 
You must be logged in to post a comment.