Zyxel製品の深刻な脆弱性、4月に修正済み - 報告者がサイレントパッチの危険性を指摘

Zyxel製のファイアウォールに深刻な脆弱性が明らかとなった。4月に同社がリリースしたパッチで脆弱性は修正されたが、脆弱性に関する注意喚起など行われておらず、問題が指摘されている。

同社の「USG FLEX」シリーズや「ATP」シリーズ、「VPN」シリーズなどのファームウェアに含まれるCGIプログラムに、OSコマンドインジェクションの脆弱性「CVE-2022-30525」が明らかとなったもの。

リモートよりファイルを変更し、コードを実行することが可能となる脆弱性で、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」とレーティングされている。

同社は5月12日にアドバイザリを急遽公開したが、4月28日にリリースしたパッチで告知なしに修正が行われていたという。

今回の修正に関して、同脆弱性を報告したRapid7は、アップデートにあたり調整がなかったことへ不満を示すとともに、利用者へ告知のない「サイレントパッチ」の危険性を指摘している。

Rapid7によると、同脆弱性は同社研究者が4月に発見し、4月13日にZyxelへ報告していた。翌日Zyxelが報告を受領、4月21日に再現性を確認した。

（Security NEXT - 2022/05/13 ） ツイート

PR

関連記事

中等教育学校で受験生資料含むUSBメモリを紛失 - 新潟県
「WatchGuard Firebox」に脆弱性 - ゼロデイ攻撃が発生、更新や痕跡調査を
不正アクセスでトップページ改ざん、外部サイトへ遷移 - 文字起こしサービス会社
図書館サーバからスパム送信、更新時の未承認設定変更が影響 - 岡山県
まもなく年末年始、長期休暇前にセキュリティ総点検を
「Apache StreamPark」に暗号化などの脆弱性3件が判明
「OpenShift GitOps」に権限昇格の脆弱性 - クラスタ掌握のおそれ
フィッシング契機に第三者が端末操作、個人情報流出か - 共立メンテナンス
ランサム被害で写真や動画が流出、調査を実施 - 横須賀学院
委託調査の関連データが保存されたPCを紛失 - 埼玉県