Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Zyxel製品の深刻な脆弱性、4月に修正済み - 報告者がサイレントパッチの危険性を指摘

Zyxel製のファイアウォールに深刻な脆弱性が明らかとなった。4月に同社がリリースしたパッチで脆弱性は修正されたが、脆弱性に関する注意喚起など行われておらず、問題が指摘されている。

同社の「USG FLEX」シリーズや「ATP」シリーズ、「VPN」シリーズなどのファームウェアに含まれるCGIプログラムに、OSコマンドインジェクションの脆弱性「CVE-2022-30525」が明らかとなったもの。

リモートよりファイルを変更し、コードを実行することが可能となる脆弱性で、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」とレーティングされている。

同社は5月12日にアドバイザリを急遽公開したが、4月28日にリリースしたパッチで告知なしに修正が行われていたという。

今回の修正に関して、同脆弱性を報告したRapid7は、アップデートにあたり調整がなかったことへ不満を示すとともに、利用者へ告知のない「サイレントパッチ」の危険性を指摘している。

Rapid7によると、同脆弱性は同社研究者が4月に発見し、4月13日にZyxelへ報告していた。翌日Zyxelが報告を受領、4月21日に再現性を確認した。

(Security NEXT - 2022/05/13 ) このエントリーをはてなブックマークに追加

PR

関連記事

JPCERT/CC、「EmoCheck v2.3」を公開 - 「Emotet」検出方法を拡充
「Firefox」や「Thunderbird」に深刻な脆弱性 - アップデートで修正
Mozilla、「Thunderbird 91.6.1」を公開 - 細工メールで悪用のおそれ
進化する「Emotet」に対応した感染チェックツール最新版を公開 - JPCERT/CC
日経新聞の海外現地法人がランサム被害 - 原因や影響を調査中
東映アニメの障害、原因はランサム - ソフトダウンロード契機に攻撃展開
会員向けメッセージに送信先リストを誤添付 - 医師向け会員サイト
米政府、「CVE-2022-26925」を緊急対応リストから一時削除 - DCへの影響で
Apple、「iOS 15.5」「iPadOS 15.5」をリリース - 脆弱性34件を修正
米政府、VMwareのID管理製品脆弱性で緊急指令 - 侵害確認とパッチ適用求める