ITよろづや

ITから生活の参考になる情報を備忘録代わりに残していきます

Zyxel製ファイアウォール USG FLEX CVE-2022-30525 OSコマンドインジェクションの脆弱性

Zyxel製ファイアウォール USG FLEX CVE-2022-30525 OSコマンドインジェクションの脆弱性についての情報になります。

 

https://www.cve.org/CVERecord?id=CVE-2022-30525

 

===

説明    
Zyxel USG FLEX 100(W)ファームウェアバージョン5.00から5.21パッチ1、USG FLEX 200ファームウェアバージョン5.00から5.21パッチ1、USG FLEX 500ファームウェアバージョン5.00から5.21パッチ1、USGFLEX700のCGIプログラムにおけるOSコマンドインジェクションの脆弱性ファームウェアバージョン5.00〜5.21パッチ1、USG FLEX 50(W)ファームウェアバージョン5.10〜5.21パッチ1、USG20(W)-VPNファームウェアバージョン5.10〜5.21パッチ1、ATPシリーズファームウェアバージョン5.10〜5.21パッチ1、VPNシリーズファームウェアバージョン4.60から5.21パッチ1。これにより、攻撃者は特定のファイルを変更して、脆弱なデバイスでいくつかのOSコマンドを実行できる可能性があります。

 

問題の種類    
CWE-78:OSコマンドで使用される特殊要素の不適切な中和(「OSコマンドインジェクション」)
ベンダー、製品、バージョン    
ベンダー:Zyxel
製品:USG FLEX 100(W)ファームウェア
影響を受けるバージョン:
5.00から5.21パッチ1
製品:USGFLEX200ファームウェア
影響を受けるバージョン:
5.00から5.21パッチ1
製品:USGFLEX500ファームウェア
影響を受けるバージョン:
5.00から5.21パッチ1
製品:USGFLEX700ファームウェア
影響を受けるバージョン:
5.00から5.21パッチ1
製品:ATPシリーズファームウェア
影響を受けるバージョン:
5.10から5.21パッチ1
製品:VPNシリーズファームウェア
影響を受けるバージョン:
4.60から5.21パッチ1
製品:USG FLEX 50(W)ファームウェア
影響を受けるバージョン:
5.10から5.21パッチ1
製品:USG 20(W)-VPNファームウェア
影響を受けるバージョン:
5.10から5.21パッチ1

===

 

 

メーカーサイトです。

Zyxel security advisory for OS command injection vulnerability of firewalls | Zyxel

 

===

ファイアウォールのOSコマンドインジェクションの脆弱性に関するZyxelセキュリティアドバイザリ

 

CVE: CVE-2022-30525


概要

Zyxelは、Rapid 7によって発見されたOSコマンドインジェクションの脆弱性に対するパッチをリリースし、最適な保護のためにそれらをインストールするようユーザーに促しています。


脆弱性は何ですか?

一部のファイアウォールバージョンのCGIプログラムにコマンドインジェクションの脆弱性があるため、攻撃者が特定のファイルを変更して、脆弱なデバイスで一部のOSコマンドを実行する可能性があります。


どのバージョンが脆弱ですか?そしてあなたは何をすべきですか?

徹底的な調査の結果、以下の表に示すように、脆弱性サポート期間内の脆弱な製品を特定し、脆弱性に対処するためのパッチをリリースしました。

 

影響を受けるモデル    影響を受けるファームウェアバージョン    パッチの可用性
USG FLEX 100(W)、200、500、700    ZLDV5.00からZLDV5.21パッチ1    ZLD V5.30
USG FLEX 50(W)/ USG20(W)-VPN    ZLDV5.10からZLDV5.21パッチ1    ZLD V5.30
ATPシリーズ    ZLDV5.10からZLDV5.21パッチ1    ZLD V5.30
VPNシリーズ    ZLDV4.60からZLDV5.21パッチ1    ZLD V5.30
質問がありますか?

詳細またはサポートについては、最寄りのサービス担当者に連絡するか、Zyxelのフォーラムにアクセスしてください。


謝辞と解説

CVE-2022-30525の問題を報告してくれたRapid7に感謝します。ただし、Rapid7との開示調整プロセス中に誤解がありました。CNAとして、Zyxelは常に調整された開示の原則に従って、レポーターとの公開を手配します。

===

 

こちらの製品を利用していて対象となる場合は、スコアも高いのでなるべく早く対応したほうがいいですね。

 

【2022年版 プロレベル】イヤホン Bluetooth イヤホン ワイヤレスイヤホン ブルートゥースイヤホン Nroae Bluetooth5.1 EDR搭載 ぶるーとーすイヤホン Bluetoothヘッドセット 明瞭なLEDディスプレイ残量表示 5-8時間 36時間再生 再生自動ペアリング 瞬時接続Type-C充電 音量調整 Siri対応 CVC8.0 & デュアルマイク カルナ型 プレゼント マイク内蔵 運動用/ゲーム/通勤通学/テレワーク/zoom/skype適用