U.S. CISA adds Microsoft Windows, Zyxel device flaws to its Known Exploited Vulnerabilities catalog
2025/02/12 SecurityAffairs — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、4件の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに登録した。その内訳は、Zyxel DSL CPE OS のコマンド・インジェクション脆弱性 CVE-2024-40890/CVE-2024-40891、および、Microsoft Windows の Storage Link Following の脆弱性 CVE-2025-21391、そして、Windows の Ancillary Function Driver for WinSock のヒープバッファ・オーバーフロー脆弱性 CVE-2025-21418 である。
脆弱性 CVE-2024-40891 は、Zyxel CPE シリーズ・デバイスに存在するコマンド・インジェクションの脆弱性であり、現時点ではパッチ未適用である。この欠陥を悪用に成功した攻撃者は、影響を受けるデバイス上で任意のコマンド実行を達成し、デバイスの乗っ取り/データの流出/ネットワーク侵入を引き起こす機会を手にする。
GreyNoise が公開したアドバイザリには、「CVE-2024-40891 と CVE-2024-40890 は類似しているが、主な違いは、前者が Telnet ベースであるのに対し、後者は HTTP ベースであることだ。どちらの脆弱性も、未認証の攻撃者に対して、サービス・アカウントを介した、任意のコマンド実行を許す可能性がある」と記されている。
その一方で VulnCheck は、2024年8月1日の時点で、Zyxel CPE Telnet コマンド・インジェクション脆弱性 CVE-2024-40891 を公開したが、ベンダーからのアドバイザリは公開されていない。 GreyNoise の研究者は VulnCheck と協力して検出を確認し、2025年1 月21 日の時点で、この問題に対するタグ付けを完了した。その後に、攻撃が広範囲に及んだことで、ベンダーとの調整なしに、すぐに公開された。
GreyNoise は、複数の IP アドレスから、数千件の攻撃試行を確認したが、その大半は台湾に所在していたという。サイバー・セキュリティ企業 Censys は、1,500台を超えるオンライン・デバイスが、この脆弱性の影響を受けると報告している。
脆弱性 CVE-2024-40890 は、レガシー DSL CPE Zyxel VMG4325-B10A ファームウェア・バージョン 1.00(AAFR.4)C0_20170615 の、CGI プログラムにおける認証後のコマンド・インジェクションの問題である。この脆弱性を悪用する認証済の攻撃者は、細工された HTTP POST リクエストを送信することで、影響を受けるデバイスで OS コマンド実行の可能性を得る。
今回、KEV カタログに追加された Microsoft Windows の2つの脆弱性は、2025年2月の Microsoft Patch Tuesday で対処されたものだ。なお、この2つのゼロデイ脆弱性は、実際の悪用が確認されている。
実際に悪用されている脆弱性は、Microsoft Windows の Storage Link Following の脆弱性 CVE-2025-21391 と、Windows の Ancillary Function Driver for WinSock のヒープバッファ・オーバーフロー脆弱性 CVE-2025-21418 である。
脆弱性 CVE-2025-21391 は、実際に悪用されている Windows ストレージにおける権限昇格の欠陥である。この脆弱性の悪用に成功した攻撃者は、ファイルの削除を達成し、コード実行と組み合わせることで、システム全体を乗っ取る機会を手にする。
Microsoft のアドバイザリには、「攻撃者は、システム上の標的ファイルのみを削除できる。この脆弱性を悪用する攻撃により、機密情報が漏洩することはないが、重要なデータが削除されることで、サービス停止へといたる可能性がある」と記されている。
脆弱性 CVE-2025-21418 は、WinSock の Windows 補助機能ドライバーにおける権限昇格の欠陥である。認証済の攻撃者が、細工されたプログラムを実行して SYSTEM 権限を取得する機会を手にする。なお、コード実行と組み合わされた、システムの完全な乗っ取りにいたる可能性がある。
Microsoft のアドバイザリには、「この脆弱性を悪用に成功した攻撃者は、SYSTEM 権限を取得する可能性がある」と記されている。
Microsoft Windows/Zyxel DSL CPE の脆弱性が、CISAの KEV に追加されました。Zyxel DSL CPE の脆弱性に関しては、現時点ではパッチ未適用とのことです。ご利用のチームは、十分にご注意ください。よろしければ、CISA KEV ページも、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.