Urgent Security Update for Zyxel NAS Devices: Patches Available for Critical Flaws
2024/06/03 SecurityOnline — Zyxel の NAS デバイスである NAS326/NAS542 の2機種に存在する、深刻な脆弱性に対処する重要なセキュリティ・パッチがリリースされた。この脆弱性の悪用に成功した攻撃者は、リモートからコードを実行し、システムのセキュリティを侵害する可能性を手にする。
この脆弱性について
Outpost24 のセキュリティ研究者 Timothy Hjort が発見した、この脆弱性は以下の通りである:
CVE-2024-29972/CVE-2024-29973 (CVSS:9.8): コマンド・インジェクションの脆弱性であり、認証されていない攻撃者が、デバイス上で OS コマンドを実行する可能性が生じる。
CVE-2024-29974 (CVSS:9.8):リモートコード実行の脆弱性であり、デバイス上での任意のコード実行する、攻撃者に許す可能性がある。
CVE-2024-29975 (CVSS:6.7):不適切な権限管理の脆弱性であり、ローカルの攻撃者に対して、root 権限の不正取得を許す可能性がある。
CVE-2024-29976 (CVSS:6.5):不適切な特権管理の問題であり、情報漏洩につながる。
販売終了製品に対するパッチ
2023年12月の時点で、NAS326/NAS542 のサポートは終了しているが、Zyxel は一連の脆弱性の深刻な性質を考慮し、サポート延長しているユーザーに対して、パッチを提供している。
Zyxel は、「脆弱性 CVE-2024-29972/CVE-2024-29973/CVE-2024-29974 の重大性を考慮し、すでに脆弱性サポート終了に達している製品であっても、サポートを延長している顧客に対してパッチを提供している」と述べている。
影響を受けるモデルとパッチの提供状況
NAS326:V5.21 (AAZF.16) C0 以下に影響が生じる。バージョン V5.21(AAZF.17)C0 において、パッチを提供。
NAS542:V5.21 (ABAG.13) C0 以下に影響が生じる。バージョ ン V5.21(ABAG.14)C0 において、パッチを提供。
対処方法
Zyxel がユーザーに対して強く推奨するのは、影響を受ける NAS モデルのすデバイスを、直ちにアップデートすることだ。これらの脆弱性は深刻であり、また、攻撃者にとって魅力的な標的であるため、アップデートの遅延により、セキュリティ侵害が発生する可能性がある。
Zyxel NAS に、5件の脆弱性が発見されました。そのうちの3件は、CVSS 値が 9.8 と評価されている、深刻度の高いものとなっています。ご利用のチームは、ご注意ください。よろしければ、Zyxel NAS で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.