ゲッティイメージズ
ネットワークハードウェアメーカーの Zyxel は、幅広い自社製品に 12 件近くの脆弱性があると警告している。パッチを当てずに放置すると、一部の脆弱性によってデバイスが完全に乗っ取られる可能性があり、大規模ネットワークへの最初の侵入ポイントとして狙われる可能性がある。
CVE-2024-7261 として追跡されている最も深刻な脆弱性は、不正利用されて「認証されていない攻撃者が細工された Cookie を脆弱なデバイスに送信することで OS コマンドを実行できるようにする」ことができると Zyxel は警告した。深刻度が 10 段階中 9.8 のこの欠陥は、脆弱なアクセス ポイントとセキュリティ ルーターの「CGI プログラムのパラメータ「ホスト」の特殊要素の不適切な無効化」に起因している。影響を受ける Zyxel デバイスは 30 台近くある。この記事の残りの脆弱性と同様に、Zyxel は顧客にできるだけ早くパッチを適用するよう呼びかけている。
でも待って…まだある
ハードウェア製造元は、ATP、USG-FLEX、USG FLEX 50(W)/USG20(W)-VPN などのファイアウォール シリーズに影響を及ぼす 7 つの追加の脆弱性について警告しました。脆弱性の深刻度は 4.9 から 8.1 の範囲です。脆弱性は次のとおりです。
CVE-2024-6343: CGI プログラムにおけるバッファ オーバーフローの脆弱性。管理者権限を持つ認証された攻撃者が細工した HTTP リクエストを送信してサービス拒否攻撃を仕掛ける可能性があります。
CVE-2024-7203: 認証後のコマンドインジェクションの脆弱性。管理者権限を持つ認証済みの攻撃者が細工された CLI コマンドを実行して OS コマンドを実行できる可能性があります。
CVE-2024-42057: IPSec VPN 機能のコマンド インジェクション脆弱性により、認証されていない攻撃者が細工したユーザー名を送信して OS コマンドを実行できる可能性があります。デバイスが User-Based-PSK 認証モードで設定されており、28 文字を超える長いユーザー名を持つ有効なユーザーが存在する場合にのみ、攻撃が成功します。
CVE-2024-42058: 一部のファイアウォール バージョンにおけるヌル ポインター参照の脆弱性により、認証されていない攻撃者が細工したパケットを送信して DoS 攻撃を仕掛けられる可能性があります。
CVE-2024-42059: 認証後のコマンド インジェクションの脆弱性。管理者権限を持つ認証済みの攻撃者が、細工された圧縮言語ファイルを FTP 経由でアップロードすることで、影響を受けるデバイス上で OS コマンドを実行できる可能性があります。
CVE-2024-42060: 認証後のコマンド インジェクションの脆弱性。管理者権限を持つ認証済みの攻撃者が、細工した内部ユーザー契約ファイルを脆弱なデバイスにアップロードすることで、OS コマンドを実行できる可能性があります。
CVE-2024-42061: CGI プログラム「dynamic_script.cgi」に存在する反射型クロスサイト スクリプティングの脆弱性により、攻撃者はユーザーを騙して XSS ペイロードを含む細工された URL にアクセスさせる可能性があります。悪意のあるスクリプトが被害者のブラウザで実行されると、攻撃者はブラウザベースの情報を取得する可能性があります。
残りの脆弱性は、深刻度評価が 7.5 の CVE-2024-5412 です。この脆弱性は、顧客宅内機器、光ファイバー ネットワーク端末、セキュリティ ルーターなど、50 種類の Zyxel 製品モデルに存在します。影響を受けるデバイスの「libclinkc」ライブラリのバッファ オーバーフロー脆弱性により、認証されていない攻撃者が細工した HTTP リクエストを送信してサービス拒否攻撃を仕掛けられる可能性があります。
近年、Zyxel デバイスの脆弱性は定期的に攻撃を受けています。パッチの多くは、アドバイザリに記載されているリンクからダウンロードできます。ごく一部のケースでは、パッチはクラウド経由で入手できます。一部の製品のパッチは、同社サポート チームに直接問い合わせることでのみ入手できます。