ZYXEL ATP／USG 認証回避の脆弱性 CVE-2025-9133：No Patch に対する緩和策は？

ZYXEL Authorization Bypass Vulnerability Let Attackers View and Download System Configuration

2025/10/21 CyberSecurityNews — Zyxel の ATP／USG シリーズ・ファイアウォールに存在する深刻な脆弱性を悪用する攻撃者は、認証制御を回避して機密性の高いシステム・コンフィグにアクセスできるようになる。この脆弱性 CVE-2025-9133 が影響を及ぼす範囲は、ファームウェア・バージョン V5.40 (ABP5.0) 以下を実行しているデバイスであり、２要素認証 (2FA) プロセス中であっても、設定情報の不正な表示およびダウンロードが可能になる。

この問題は 2025年8月14日に公開されたものであり、Web インターフェイスにおける不十分なコマンド・フィルタリングに起因し、認証情報／キーやネットワーク・コンフィグが、リモートからの攻撃にさらされる可能性がある。

この脆弱性は、2FA を有効化しているユーザーが、デバイスの Web ポータルにログインした際に発生する。通常において、ログインを続行するユーザーは、メールまたは認証アプリでワンタイム PIN を入力する必要がある。

ただし、この検証が実行される前に、システムはコンフィグ・クエリを処理するバックエンドの zysh-cgi バイナリへ向けて半認証リクエストを送信する。

この脆弱性を発見した Alessandro Sgreccia によると、これらのリクエストを操作してコマンドを挿入する攻撃者が、未認証ユーザーのアクセスを制限するホワイトリストを回避できることを特定した。この研究者は、別の脆弱性 CVE-2025-8078 も発見している。

コマンド・インジェクションによるバイパス

Alessandro Sgreccia は Burp Suite などのツールを使用して、”/cgi-bin/zysh-cgi” への POST リクエストを傍受した。通常において、これらのリクエストには “show version” や “show users current” などの無害なコマンドが含まれているが、部分的な認証状態 (ユーザータイプ 0x140) に対応するものとしてホワイトリスト登録されている。

“show version;show running-config” のような許可されていないコマンドに、セミコロンを付加する脅威アクターは、システムを欺いてインジェクションを達成する。

バイナリに対してはプレフィックスベースの検証が実行され、文字列の先頭部分のみがホワイトリストと照合される。一致した場合には、コマンド・チェーン全体がデバイスの CLI パーサーに転送され、それ以上の精査は行われないため、隠されたペイロードが実行されてしまう。

“export-cgi” または “file_upload-cgi” を介してコンフィグ・ファイルに直接アクセスしようとすると、ログイン・ページへの 302 リダイレクトがトリガーされ、2FA の試行に失敗すると強制的にログアウトされる。

しかし、この保護機能は “zysh-cgi” エンドポイントに備わっていないため、”filter=js2″ が設定されている場合には、JavaScript でシリアライズされたレスポンス (例：zyshdata 配列) 内に、完全なコンフィグ・ダンプが返される。

この zysh-cgi のバイナリ解析により、ユーザープロファイルに基づく実行パスが明らかになった。具体的に言うと、管理者以外のユーザー向けの制限付き “エンジン” における、完全な検証のバイパスである。

コマンドのセミコロン分割や、サブパートの再検証に依存することなく、この脆弱性により、読み取り専用クエリが完全な情報漏洩ベクターに変換される。

この認証バイパスに成功した攻撃者は、パスワード／API キー／ルーティングの詳細情報を収集し、ネットワーク内でのラテラル・ムーブメントや、コンフィグ改竄による永続化を容易に達成するという。

さまざまな規模の企業の環境で、脅威対策として広く利用されている Zyxel デバイスは、2FA が有効化されていても、この脆弱性の残存によりリスクが増大する。

2025年10月の時点で、Zyxel はパッチをリリースしていないため、専門家が推奨するのは即時の緩和策の実施である。具体的には、リモート Web アクセスを無効化し、CGI エンドポイントに厳格なファイアウォール・ルールを適用し、異常な “zysh-cgi” トラフィックを監視することだ。

ベンダーが行うべき対策は、コマンドのトークン化と、各サブコマンドに対する個別の検証により、連鎖を完全に防止することだ。CSRF トークンとレート制限を追加することで、防御を強化できる。

サイバーセキュリティの脅威が進化する中、今回のインシデントが浮き彫りにするのは、エンベッドされたシステムにおける不完全な入力サニタイズが生じる危険性である。Zyxel ATP/USG を使用している組織にとって必要なことは、早急にコンフィグを監査し、データ漏洩を防ぐことだ。

この問題の原因は、Zyxel の Web ポータルが 2FA 検証を完了する前に、半認証状態のリクエストをバックエンド “zysh-cgi” へ送信し、そこで先頭部分だけを照合するプレフィックス型ホワイトリストを使っていた点にあります。攻撃者はセミコロンなどでコマンド連鎖を組み入れ、無害に見える読み取りクエリを送信することで、完全なコンフィグ・ダンプやパスワード／APIキーを盗み出していきます。パッチが未適されるまでに間に用いる、緩和策をご参照ください。よろしければ、Zyxel で検索も、ご参照ください。