2024/09/09 SecurityOnline — Zyxel は、すでに脆弱性サポートが終了している NAS326/NAS542 の2つの NAS 製品に対して、重要な Hotfix をリリースした。これらのデバイスは、コマンド・インジェクションの脆弱性 CVE-2024-6342 (CVSS:9.8) の影響を受けやすく重大な脅威となっている。
この脆弱性は、NAS デバイスの “export-cgi” プログラム内に存在する。この脆弱性を悪用する未認証のリモート攻撃者は、悪意を持って細工した HTTP POST リクエストを送信することで、OS コマンドの実行を可能にする。この悪用が成功すると、NAS システムの完全な侵害につながる。したがって攻撃者は、ネットワーク内の他のシステムの制御や、データの流出に加えて、さらなる攻撃を仕掛けるための足場を得ることになる。
脆弱な製品とバージョン
- Zyxel NAS326:V5.21(AAZF.18)C0 以下
- Zyxel NAS542:V5.21(ABAG.15)C0 以下
これらのデバイスは、2023年12月31日の時点でサポートが終了している。しかし Zyxel は、この脆弱性の重大性とユーザーへの潜在的な影響を考慮し、Hotfix を提供するという例外的な措置をとった。
提供されている Hotfix
Zyxel は、影響を受けるデバイスを使用しているユーザーに対して、直ちに Hotfix をインストールし、最適な保護を確保するよう呼びかけている。Hotfix は、Zyxel の公式サポートページからダウンロードできる:
- NAS326:V5.21(AAZF.18)Hotfix-01
- NAS542:V5.21(ABAG.15)Hotfix-01
迅速な対応の重要性
脆弱性 CVE-2024-6342 の重大性を考慮すると、すべての NAS326/NAS542 ユーザーにとって、Hotfix の適用は不可欠である。パッチが適用されていないシステムは、この脆弱性を悪用してデバイスを完全に制御し、不正な操作を実行する攻撃者にとって、格好の標的となる可能性が高い。
この Hotfix は、データ・ストレージのニーズを Zyxel NAS デバイスに依存している組織や個人にとって、最終的な防御策となる。ただし、これらのデバイスに対して、今後の脆弱性サポートは提供されない。したがってユーザーは、将来のリスクを回避するために、サポートされた新しいハードウェアへの移行も検討すべきである。
Zyxel NAS の脆弱性 CVE-2024-6342 が FIX しましたが、EoL 製品である NAS 326/542 が対象とのことなので、ご利用のチームは、アップデートを お急ぎください。そして、次のアップデートは無いので、デバイスの交換も ご検討ください。よろしければ、Zyxel NAS で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.