CVE-2024-7261 (CVSS 9.8): Zyxel Patches Critical Vulnerability in Wi-Fi Devices
2024/09/02 SecurityOnline — Zyxel の AP (Access Points)/Security Router に存在する、脆弱性 CVE-2024-7261 (CVSS:9.8) に関するセキュリティ・アドバイザリが公開された。同社は、ユーザーに対して、この脆弱性に対応するために、ファームウェアを迅速にアップデートするよう求めている。
脆弱性 CVE-2024-7261 は、特定の Zyxel AP/Security router で使用される、CGI プログラムの ”host” パラメーター内の特殊要素に対する、不適切に無効化に起因する。この脆弱性の悪用に成功した攻撃者は、特別に細工したクッキーを脆弱なデバイスに送信し、認証を得ることなく OS コマンドを実行できるという。この種の悪用から生じるものには、データ漏洩/ネットワーク侵害に加えて、サービスの中断といった重大なリスクもある。
すでに Zyxel は、この脆弱性を緩和するためのファームウェアパッチをリリースしている。ユーザーに対して強く推奨されるのは、これらのパッチを直ちに適用することである。
以下は、脆弱性 CVE-2024-7261 の影響を受ける製品リストである:
| 製品 | 該当モデル | 該当バージョン | 該当パッチ |
| AP | NWA50AX | 7.00(ABYW.1) 以下 | 7.00(ABYW.2) |
| NWA50AX PRO | 7.00(ACGE.1) 以下 | 7.00(ACGE.2) | |
| NWA55AXE | 7.00(ABZL.1) 以下 | 7.00(ABZL.2) | |
| NWA90AX | 7.00(ACCV.1) 以下 | 7.00(ACCV.2) | |
| NWA90AX PRO | 7.00(ACGF.1) 以下 | 7.00(ACGF.2) | |
| NWA110AX | 7.00(ABTG.1) 以下 | 7.00(ABTG.2) | |
| NWA130BE | 7.00(ACIL.1) 以下 | 7.00(ACIL.2) | |
| NWA210AX | 7.00(ABTD.1) 以下 | 7.00(ABTD.2) | |
| NWA220AX-6E | 7.00(ACCO.1) 以下 | 7.00(ACCO.2) | |
| NWA1123-AC PRO | 6.28(ABHD.0) 以下 | 6.28(ABHD.3) | |
| NWA1123ACv3 | 6.70(ABVT.4) 以下 | 6.70(ABVT.5) | |
| WAC500 | 6.70(ABVS.4) 以下 | 6.70(ABVS.5) | |
| WAC500H | 6.70(ABWA.4) 以下 | 6.70(ABWA.5) | |
| WAC6103D-I | 6.28(AAXH.0) 以下 | 6.28(AAXH.3) | |
| WAC6502D-S | 6.28(AASE.0) 以下 | 6.28(AASE.3) | |
| WAC6503D-S | 6.28(AASF.0) 以下 | 6.28(AASF.3) | |
| WAC6552D-S | 6.28(ABIO.0) 以下 | 6.28(ABIO.3) | |
| WAC6553D-E | 6.28(AASG.2) 以下 | 6.28(AASG.3) | |
| WAX300H | 7.00(ACHF.1) 以下 | 7.00(ACHF.2) | |
| WAX510D | 7.00(ABTF.1) 以下 | 7.00(ABTF.2) | |
| WAX610D | 7.00(ABTE.1) 以下 | 7.00(ABTE.2) | |
| WAX620D-6E | 7.00(ACCN.1) 以下 | 7.00(ACCN.2) | |
| WAX630S | 7.00(ABZD.1) 以下 | 7.00(ABZD.2) | |
| WAX640S-6E | 7.00(ACCM.1) 以下 | 7.00(ACCM.2) | |
| WAX650S | 7.00(ABRM.1) 以下 | 7.00(ABRM.2) | |
| WAX655E | 7.00(ACDO.1) 以下 | 7.00(ACDO.2) | |
| WBE530 | 7.00(ACLE.1) 以下 | 7.00(ACLE.2) | |
| WBE660S | 7.00(ACGG.1) 以下 | 7.00(ACGG.2) | |
| Security router | USG LITE 60AX | V2.00(ACIP.2) | V2.00(ACIP.3)* |
脆弱性 CVE-2024-7261 に対する Zyxel のセキュリティ・アドバイザリは、潜在的な攻撃からユーザーを保護するための重要なステップである。
Zyxel Wi-Fi 製品に脆弱性とのことです。すでに、パッチがリリースされていますので、ご利用のチームは、可能な限り早急に、ご対応ください。なお、前回の Zyxel 関連の記事は、2024/06/23 の「Zyxel NAS の脆弱性 CVE-2024-29973:Mirai ライクなボットネットによる積極的な悪用」となっています。よろしければ、Zyxel で検索とい併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.