Zyxel CPE デバイスのゼロデイ脆弱性 CVE-2024-40891:実環境での悪用を確認

Zyxel CPE Devices Face Active Exploitation Due to Unpatched CVE-2024-40891 Vulnerability

2025/01/29 TheHackerNews — Zyxel CPE シリーズのデバイスに影響を与える、ゼロデイ脆弱性 CVE-2024-40891 だが、実環境における活発な悪用が確認されている。2025年1月28日に公開された GreyNoise のブログで Glenn Thorpe は、「この脆弱性の悪用に成功した攻撃者は、影響を受けるデバイス上での任意のコマンド実行を達成し、完全なシステム侵害/データ流出/ネットワーク侵入の可能性を手にする」と述べている。

この、コマンド・インジェクション脆弱性 CVE-2024-40891 に関しては、現時点において Zyxel から、情報は公開されておらずパッチも適用されていない。なお、このバグの存在自体は、2024年8月の時点で VulnCheck により報告されている。

Greynoise が収集した統計によると、攻撃の試みは数十の IP アドレスから発信されており、その大半は台湾に位置していることが示されている。また、Censys によると、オンライン上には 1,500台以上の脆弱なデバイスが存在している。

GreyNoiseは、「この CVE-2024-40891 は、Zyxel CPE の別の脆弱性である CVE-2024-40890 と酷似している。主な相違点は、CVE-2024-40891 が Telnet ベースであるのに対し、CVE-2024-40890 は HTTP ベースであることだ。これらの脆弱性を悪用する、未認証の攻撃者は、サービス・アカウントを使用して任意のコマンド実行の可能性を手にする」と述べている。

VulnCheck と Zyxel は、情報開示プロセスを共同で進めているとのことだ。The Hacker News は、さらに詳しいコメントを Zyxel に求めており、回答が得られ次第、この記事を更新する予定だ。

Zyxel Unpatched Vulnerability

ベンダーからの公式情報が開示されるまでの期間において、ユーザーに推奨される対策は、Zyxel CPE 管理インターフェースへの異常な HTTP リクエストのトラフィックをフィルタリングし、管理インターフェースへのアクセスを信頼できる IP に制限することである。

Zyxel CPE の脆弱性の悪用が確認されたのと同時期に、リモート・デスクトップ・ソフトウェアである SimpleHelp を悪用するキャンペーンも報告されている。このキャンペーンは、2025年1月22日に開始されたと Arctic Wolf が報告するものであり、初期アクセスのベクターとして、SimpleHelp を実行しているデバイスへの不正アクセスが使用されていた。

2025年1月中旬に、SimpleHelp の3つの脆弱性 CVE-2024-57726/CVE-2024-57727/CVE-2024-57728 が公表されている。これらの脆弱性の悪用に成功した攻撃者は、管理者ユーザーに特権を昇格させ、任意のファイルのアップロードを可能にするとされる。これらの脆弱性が Arctic Wolf から報告された攻撃と関連しているかどうかは、現時点では不明である。

Arctic Wolf のセキュリティ研究者である Andres Ramos は、「侵害の兆候は、クライアント・プロセスからの、承認されていない SimpleHelp サーバ・インスタンスへの通信だった。また、SimpleHelp セッション経由で開始された cmd.exe プロセスでは、net/nltest などのツールを使用した、アカウントやドメインの情報の列挙がも確認されている。この攻撃を追跡している最中に、セッションが終了したことで、攻撃者の目的は確認できなかった」と述べている。

SimpleHelp のユーザー組織に推奨されるのは、潜在的な脅威から保護するために、SimpleHelp インスタンスを最新の修正版に更新することである。

Zyxel CPE の脆弱性 CVE-2024-40891 ですが、GreyNoise や VulnCheck が警告を発しても、Zyxel からはパッチが適用されないという状況です。ご利用のチームは、ご注意ください。なお、この記事では、SimpleHelp の脆弱性にも触れられていますが、関連性のない話です。よろしければ、2025/01/27 の「SimpleHelp RMM の脆弱性 CVE-2024-57726/57727/57728:積極的な悪用を観測」を、Zyxel で検索と併せて、ご参照ください。