数か月前にセキュリティベンダーのインターンが重大な欠陥を報告したことを受けて、Zyxel 社は、廃止されたネットワーク接続ストレージ (NAS) デバイス 2 台に対するセキュリティ修正プログラムをリリースした。
NAS326(バージョンV5.21(AAZF.16)C0以前)およびNAS542(バージョンV5.21(ABAG.13)C0以前)が影響を受けます。両モデルとも2023年12月31日にサポート終了(EOL)となり、リモートコード実行(RCE)などの問題につながる可能性のある複数の重大な脆弱性が存在する状態となっています。
Outpost24の脆弱性調査インターンであるティモシー・ヒョート氏は、3月に台湾に拠点を置くZyxel社に5件の脆弱性を報告しました。ヒョート氏とZyxel社は火曜日に、共同で脆弱性の詳細とパッチを公開しました。
Hjort 氏の報告には、潜在的な攻撃者に脆弱性を悪用する方法を知らせる概念実証コードも含まれており、今すぐにパッチを適用することが特に重要であることを示しています。
ジェットブレインズは顧客に対するランサムウェア攻撃についてRapid7に未だに憤慨している
続きを読む
「脆弱性CVE-2024-29972、CVE-2024-29973、CVE-2024-29974の深刻度が極めて高いため、Zyxelは、製品の脆弱性サポートがすでに終了しているにもかかわらず、延長サポート付きのパッチを顧客に提供しています」とベンダーはアドバイザリで述べている。
これら 3 つの重大な欠陥はすべて、CVSSv3 の重大度スコア 9.8 を取得しており、これはほぼ最悪のレベルです。
CVE-2024-29972 は、Zyxel ファームウェア内の「NsaRescueAngel」と呼ばれるバックドア アカウントに関連しています。これは、ルート権限を持つリモート サポート アカウントであり、2020 年に削除されたとされていますが、少なくともこれらの影響を受けるバージョンでは依然として存続しているようです。
- マイクロソフトはAzureの欠陥に対し、テナブルにバグ報奨金を支払った。同社は修正は必要なく、ドキュメントの改善だけで済むとしている。
- NIST、国家脆弱性データベースのバックログ解消にITコンサルタントを活用
- チェック・ポイント、現在悪用されているVPNの脆弱性にパッチを当てるよう顧客に警告
- スノーフレークは、悪意のある者がセキュリティを破壊して主要顧客のデータを盗んだことを否定している
CVE-2024-29973 は Python コードインジェクションの脆弱性であり、Zyxel が昨年の重大な脆弱性 (CVE-2023-27992) を修正した後に導入されたと Hjort 氏は述べ、この調査がインターンの最新の発見につながったという。
Hjort氏によると、CVE-2023-27992へのパッチ適用において、Zyxelは「従来のものと同じアプローチを採用した新しいエンドポイントを追加したが、その際に以前のバージョンと同じ欠陥を実装した」という。つまり、特別に細工されたHTTP POSTリクエストによって、攻撃者はオペレーティングシステム上でコマンドを実行できるのだ。
最後に、CVE-2024-29974は、攻撃者に持続性をもたらすという点でもう少し有利なRCEバグです。ただし、NsaRescueAngelバックドアはデバイスの再起動後に消去されます。これは、デバイスの設定ファイルのバックアップと復元を担うファームウェアのfile_upload-cgiプログラムに影響を及ぼします。
他の 2 つの脆弱性 (CVE-2024-29975 と CVE-2024-29976) はどちらも権限昇格の欠陥であり、深刻度スコアはそれぞれ 6.7 と 6.5 です。
3 つの重大な欠陥は現在、NAS326 デバイスの場合はバージョン V5.21(AAZF.17)C0、NAS542 ボックスの場合はバージョン V5.21(ABAG.14)C0 で修正されています。
Zyxel氏もHjort氏も、これらの脆弱性が実際に悪用されたかどうかについてはコメントしていません。しかし、攻撃方法のブループリントが公開されると、攻撃が開始されるまでには通常、数日しかかかりません…JetBrainsに聞いてみてください。®
