Zyxel Patches Multi Vulnerabilities in DSL/Ethernet CPE, Fiber ONT, and WiFi Extender Devices
2025/03/11 SecurityOnline — ネットワーク・ソリューションを提供する Zyxel Networks が、前日に公表したのは、同社の DSL/Ethernet CPE/Fiber ONT/WiFi Extender デバイスなどに影響を及ぼす、認証後コマンド・インジェクションの脆弱性に対処するための、セキュリティ・パッチのリリースである。
一連の脆弱性 CVE-2024-11253/CVE-2024-12009/CVE-2024-12010 の深刻度は、いずれも CVSS スコア 7.2 と評価されている。この脆弱性の悪用に成功した管理者権限を持つ認証済みの攻撃者は、影響を受けるデバイス上での任意 OS コマンド実行の可能性を得る。
1つ目の脆弱性 CVE-2024-11253 は、特定の DSL/Ethernet CPE ファームウェア・バージョンにおける、診断機能の DNSServer パラメータに影響を及ぼすものだ。2つ目の脆弱性 CVE-2024-12009 は、DSL/Ethernet CPE/Fiber ONT/WiFi Extender の、各種のファームウェア・バージョンにおける、ZyEE 機能に影響を及ぼす。3つ目の脆弱性 CVE-2024-12010 は、上記のファームウェア・バージョンにおける、zyUtilMailSend 機能に影響を及ぼす。
Zyxel が強調するのは、これらのデバイスでは WAN アクセスがデフォルトで無効化されているため、強力な管理者パスワードが侵害された場合にのみ、それらの悪用が可能であることだ。
影響を受けるデバイスの、ユーザーに対して強く推奨されるのは、速やかに最新ファームウェア・パッチをインストールし、これらの脆弱性によりもたらされるリスクを軽減することだ。それぞれの脆弱な製品の完全なリストと、それに対応するパッチの可用性については、セキュリティ・アドバイザリで確認できる。
一連のパッチ適用に関する詳細情報とサポートについては、Zyxel の営業担当者またはサポート・チームに問い合わせてほしい。
Zyxel のネットワーク・インフラ製品は、頻繁に攻撃者の標的になっているため、油断は禁物です。影響を受けるモデル名は明示されていますので、ご利用のチームは、アップデートをご検討下さい。よろしければ、以下の関連記事も、Zyxel で検索と併せて、ご参照下さい。
2025/02/12:Zyxel DSL CPE OS の脆弱性4件が CISA KEV に登録
2025/02/05:Zyxel の CVE-2025-0890/40891:EoL 製品に攻撃
2025/01/29:Zyxel CPE の CVE-2024-40891:実環境での悪用を確認
2025/01/26:Helldown ランサムウェア:Zyxel の脆弱性を攻撃
IoT OT Security News 
You must be logged in to post a comment.