Zyxel NWA50AX Pro の脆弱性 CVE-2024-29974：任意のファイル削除の PoC が登場

Zyxel NWA50AX Pro Hit by N-Day Flaw Allowing Arbitrary File Deletion

2025/06/18 gbhackers — 中小企業向け WiFi 6 アクセス・ポイントである、Zyxel NWA50AX Pro に発見された N-Day 脆弱性は、不適切な CGI エンド・ポイントを介して、任意のファイル削除を許すものである。この脆弱性 CVE-2024-29974 が浮き彫りにするのは、組み込みデバイスにおけるコード・ベースの共有と、不完全なパッチ適用のリスクである。

発見と技術分析

この脆弱性は、Frycos の研究者たちが実施した脆弱性の調査において、このデバイスのファームウェアと Web サーバ・コンフィグが分析された結果として、この欠陥が発見された。

Zyxel NWA50AX Pro は、lighttpd Web サーバを実行しており、そのコンフィグ・ファイルは、mod_access、mod_alias／mod_redirect、mod_rewrite／mod_setenv／mod_openssl などのモジュールを参照している。

ドキュメント・ルートは、”/usr/local/zyxel-gui/htdocs” に設定されており、Web 機能に対しては CGI バイナリが使用されている。

Zyxel NWA50AX Pro の認証は、”auth_zyxel.conf” などのカスタム・コンフィグ・ファイルにより管理される。これらのファイルでは、AuthZyxelSkipPattern や AuthZyxelSkipUserPattern などのパラメータを用いて、グローバルおよびユーザー固有の URL ホワイト・リストが定義されている。

これらのホワイト・リストのパスを列挙した研究者たちは、特定の URL の組み合わせにおいて、”/cgi-bin/file_upload-cgi” を含む特定の CGI エンド・ポイントに、認証を必要とすることなくアクセスできることを発見した。

Frycos が実施した Ghidra を用いる静的解析により、”file_upload-cgi” バイナリが、file_path／file_path.length／file_path.filename などの、ユーザー指定パラメータを処理することが明らかになった。

このコードは、ユーザーが制御する snprintf を用いて、”file_path.filename” を静的な “/tmp” ディレクトリに連結するため、パス・トラバーサルの脆弱性が生じる。

それを悪用する攻撃者は、このバイナリで unlink を呼び出し、指定されたファイルを削除した後に、rename により別のファイルを、その場所へと移動する。

それにより攻撃者は、パラメータを操作した POST リクエストを作成し、認証を必要とすることなく、ログイン・ページのロゴ画像などの任意のファイルを削除できる。

PoC エクスプロイトにおいては、巧妙に細工されたペイロードを取り込んだ、”/cgi-bin/file_upload-cgi/images” への POST リクエストにより、重要なファイルが削除され、任意のファイル削除が実証された。

この脆弱性の悪用の範囲は、コンフィグ・ファイルやパスワード・ファイルの置き換えなどの、さらなる攻撃へと広がる可能性があるため、権限昇格やサービス拒否攻撃が引き起こされるかもしれない。

パッチの状況と広範な影響

新しいファームウェア・バージョンでは、 “authtok=” などの認証 Cookie をチェックすることで、この脆弱性を修正しようとしている。しかし、数多くのデバイスがパッチ未適用の状態で、パブリック・インターネット上に公開されている。

この問題が浮き彫りにするのは、コード再利用の蔓延と、CVE カバレッジが不完全な環境における、脆弱性の管理の課題である。

Zyxel NWA50AX Pro に発見された脆弱性 CVE-2024-29974 は、セキュリティ対策が不十分な組み込みデバイスのリスクと、徹底した脆弱性調査の重要性を示している。

管理者に対して強く推奨されるのは、デバイスのファームウェアを確認し、提供されているパッチを適用することで、任意のファイル削除のリスクを軽減することだ。

この脆弱性レポートが指摘するのは、Zyxel NWA50AX Pro のような中小企業向け機器にも、しっかりとした脆弱性の管理が必要だという点です。CGI バイナリの認証バイパスやパス・トラバーサルは古典的な攻撃手法ですが、未だに生き残っているようです。なお、この脆弱性に関する第一報は、2024/06/03 の「Zyxel NAS の深刻な脆弱性 CVE-2024-29972／29973 などが FIX：ただちにパッチを！」です。よろしければ、Zyxel で検索と併せて、ご参照ください。