Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Zyxel製NAS製品にリモートからコマンド実行できる脆弱性 - 悪用も

Zyxel Networks製のネットワークストレージ製品にコマンドインジェクションの脆弱性「CVE-2023-27992」が明らかとなった。悪用も確認されており、米政府が注意を呼びかけている。

同社が、現地時間6月20日にアドバイザリを公表し、リモートより認証なしにコマンドの実行が可能となるコマンドインジェクションの脆弱性「CVE-2023-27992」を公表したもの。「NAS542」「NAS540」「NAS326」が影響を受ける。

米国立標準技術研究所(NIST)の脆弱性データベース「NVD」において、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度はもっとも高い「クリティカル(Critical)」とレーティングされている。

同社は、6月20日にアドバイザリを公表。利用者へファームウェアのアップデートを求めた。これら製品に関しては、5月末に「CVE-2023-27988」を修正するパッチがリリースされたばかりだが、再度更新する必要があるため注意が必要。

同脆弱性に関しては、すでに悪用が確認されている。米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、現地時間6月23日に同脆弱性を「悪用が確認された脆弱性カタログ(KEV)」へ追加。同国内の行政機関へ対策を要請するとともに、注意するよう広く呼びかけている。

(Security NEXT - 2023/06/26 ) このエントリーをはてなブックマークに追加

PR

関連記事

グリコ、6月下旬より冷蔵品の出荷を順次再開
「Interop Tokyo 2024」が開催中 - 「ShowNet」も人気、ケーブル総距離32キロ超
悪用確認されたPHPの脆弱性などに注意喚起 - 米当局
Windows環境の「PHP」脆弱性、ランサムの標的に - 他脆弱性にも注意
Palo Altoがアドバイザリ4件を公開 - 「Cortex XDR」などに脆弱性
通販サイトの会員情報含むHDDを第三者が入手 - バンナムグループ会社
GitLab、脆弱性5件に対処したセキュリティアップデートを公開
「Apache Submarine」に脆弱性 - 5月にプロジェクト終了、修正予定なし
高齢者名簿が入ったリュックが電車内で置き引き被害 - 青梅市
WP向けeコマースプラグイン「Dokan Pro」にSQLi脆弱性