Zyxel製品の深刻な脆弱性、4月に修正済み - 報告者がサイレントパッチの危険性を指摘
Zyxel製のファイアウォールに深刻な脆弱性が明らかとなった。4月に同社がリリースしたパッチで脆弱性は修正されたが、脆弱性に関する注意喚起など行われておらず、問題が指摘されている。
同社の「USG FLEX」シリーズや「ATP」シリーズ、「VPN」シリーズなどのファームウェアに含まれるCGIプログラムに、OSコマンドインジェクションの脆弱性「CVE-2022-30525」が明らかとなったもの。
リモートよりファイルを変更し、コードを実行することが可能となる脆弱性で、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」とレーティングされている。
同社は5月12日にアドバイザリを急遽公開したが、4月28日にリリースしたパッチで告知なしに修正が行われていたという。
今回の修正に関して、同脆弱性を報告したRapid7は、アップデートにあたり調整がなかったことへ不満を示すとともに、利用者へ告知のない「サイレントパッチ」の危険性を指摘している。
Rapid7によると、同脆弱性は同社研究者が4月に発見し、4月13日にZyxelへ報告していた。翌日Zyxelが報告を受領、4月21日に再現性を確認した。
(Security NEXT - 2022/05/13 )
ツイート
PR
関連記事
大音量で煽る「サポート詐欺」の被害、端末内部に学生情報 - 名大
メール送信した資料に物件オーナーの個人情報 - 長谷工ライブネット
「Chromium」の脆弱性狙う攻撃 - 派生ブラウザ利用者も注意を
海外グループ会社にサイバー攻撃、影響など調査 - ミタチ産業
DDoS攻撃観測数、前月から微減 - 最大トラフィックは縮小
「Lucee」にクリティカル脆弱性 - 悪用コード公開済み
「MS Edge」にアップデート - ゼロデイ脆弱性などに対応
「Cisco Unified CM」に深刻なRCE脆弱性 - ESリリースのみ影響
教員が小学校授業で過去の年賀ハガキを教材利用 - 横須賀市
生活保護受給者の医療券を別機関へ誤送付 - 新潟市
