Zyxel製品の深刻な脆弱性、4月に修正済み - 報告者がサイレントパッチの危険性を指摘

報告時にRapid7では6月21日の開示を提案していたが、Zyxelでは調整することなく、CVE番号の取得やアドバイザリなどの公開もなしに、4月28日のパッチで修正していた。翌29日に6月21日より前にパッチをリリースする可能性があるとの通知があったという。

Rapid7は、5月9日にパッチで修正済みであることを確認、告知なしに修正を行ったパッチについて説明を求めるとともに、同週に脆弱性を公開することを通告したところ、Zyxelでは翌10日にCVE番号を「CVE-2022-30525」を予約。あたらしい開示スケジュールとして5月12日を提案した。

Zyxelは、自社製品に対してCVE番号をみずからの判断で採番できる機関「CNA（CVE Numbering Authoritie）」となっている。

今回の問題を受け、Rapid7は、パッチのリリースは脆弱性の詳細を明らかにすることと同じとし、利用者へ告知を行わない「サイレントパッチ」の危険性を指摘した。

攻撃者や研究者は脆弱性がどのように悪用できるかパッチより正確に把握できるが、防御する側がこうした調査を行うことはほとんどないとして、利用者がリスクを理解し、パッチの適用時期を適切に決定できるよう、早期に情報を開示すべきと述べた。

Zyxelは、Rapid7による脆弱性の報告に対して謝意を示すとともに、公開調整の過程で誤解が生じたとし、CNAとしてつねに開示調整の原則に従い、報告者と公開を調整していると釈明している。

（Security NEXT - 2022/05/13 ）ツイート