CVE-2024-11667: Critical Vulnerability in Zyxel Firewalls Actively Exploited
2024/11/28 SecurityOnline — Zyxel ファイアウォールに存在する、深刻な脆弱性 CVE-2024-11667 が積極的に悪用されている状況を、CERT Germany (CERT-Bund) と Zyxel が観測し、警告している。この脆弱性は、Helldown ランサムウェアの展開に悪用されており、少なくとも5つのドイツの組織が侵害されたことが、一連の報告の初期段階で判明している。
問題となっているのは、Zyxel の ZLD ファームウェアバージョン 5.00〜5.38 に存在する、ディレクトリ・トラバーサルの脆弱性 CVE-2024-11667 である。この脆弱性の悪用に成功した攻撃者は、特別に細工された URL を介して、不正なファイルのアップロード/ダウンロードを実行できるようになる。その結果として、システム認証情報などの機密情報が漏洩し、不正な VPN 接続の確立や、ファイアウォールのセキュリティ・ポリシーの変更などの、さらなる悪意の活動へといたる可能性がある。
影響を受けるデバイスには、以下が含まれる:
- Zyxel ATP/USG FLEX シリーズのファイアウォールで、on-premise モードで動作しているデバイス。
- ZLD 4.32〜5.38 を実行しており、リモート管理また はSSL VPN が有効になっているデバイス。
なお、この脆弱性の影響を受けるデバイスには、Nebula クラウド管理モードを利用しているものは含まれない。
2024年8月に発見された Helldown ランサムウェアは、LockBit ランサムウェア・ビルダーから派生した亜種のようだ。Helldown は、侵入したネットワーク内での横移動などの、高度な戦術を展開する。憂慮すべきことに、脆弱性 CVE-2024-11667 に対するパッチが適用されたシステムにおいても、すでに侵害が発生し、その後にユーザー認証情報が更新されていない場合には、問題が残る可能性がある。
すでに Zyxel は、CVE-2024-11667 に対応する ZLD ファームウェアバージョン 5.39 をリリースし、この深刻な脅威を緩和している。しかし、CERT-Bund と Zyxel は、パッチの適用だけでは不十分であるとし、以下のセキュリティ対策の実施を推奨している。
- データの定期的なバックアップ:ランサムウェア攻撃が発生した場合においても、事業継続性を確保するために、重要なデータのオフライン・バックアップの取得を維持する。
- すべてのユーザーアカウント・パスワードの迅速なリセット:すでに侵害されたシステム内に、攻撃者が存在し続けることを防ぐための、最も重要な対処である。
- ネットワーク監視の強化:ログイン試行/データ流出/ネットワーク接続などにおける、異常なアクティビティを検出するために、強固なネットワーク監視を実施する。
- 不要サービスの無効化:リモート管理や SSL VPN 機能が不要であれば、それらを無効化する。
Zyxel ファイアウォールの脆弱性ですが、Helldown ランサムウェアによる悪用が確認されているようです。すでにパッチがリリースされていますので、ご利用のチームは確認してみてください。よろしければ、Zyxel で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.