セキュリティ

SECURITY

公開：2024-12-06

【CVE-2024-11667】Zyxelの複数ファームウェアにディレクトリトラバーサルの脆弱性、CVSSスコア7.5の高リスク

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Zyxelの複数製品にディレクトリトラバーサルの脆弱性
• ATP seriesなど4シリーズのファームウェアが対象
• URLを介したファイルの不正操作が可能に

Zyxel製品のファームウェアに深刻な脆弱性

Zyxel Corporationは2024年11月27日、同社のATP seriesやUSG FLEX seriesなど複数製品のファームウェアにディレクトリトラバーサルの脆弱性が存在することを公表した。この脆弱性は特定のバージョンのファームウェアに影響を与えており、CVSSスコアは7.5と高い深刻度を示している。^[1]

影響を受けるファームウェアのバージョンは、ATP seriesとUSG FLEX seriesではV5.00からV5.38、USG FLEX 50(W) seriesとUSG20(W)-VPN seriesではV5.10からV5.38となっている。攻撃者は細工されたURLを使用することで、対象システム上のファイルを不正にダウンロードまたはアップロードすることが可能になるだろう。

この脆弱性はCWE-22（パストラバーサル）に分類されており、攻撃の実行に特権や利用者の操作を必要としない点が特に危険である。CVSSの評価によると、攻撃元区分はネットワークであり、攻撃条件の複雑さは低いとされているため、早急な対策が求められている。

影響を受けるファームウェアの詳細

Zyxelのセキュリティアドバイザリの詳細はこちら

ディレクトリトラバーサルについて

ディレクトリトラバーサルとは、Webアプリケーションにおける深刻なセキュリティ上の脆弱性の一つであり、攻撃者が意図されていないディレクトリにアクセスできてしまう問題のことを指す。主な特徴として、以下のような点が挙げられる。

• URLやファイルパスの操作による不正アクセス
• 重要なシステムファイルへのアクセスが可能
• 機密情報の漏洩や改ざんのリスクが高い

今回のZyxel製品の脆弱性では、Webマネジメントインターフェースを通じて攻撃者が細工されたURLを使用することで、制限されたディレクトリ外のファイルにアクセスすることが可能となる。CVSSスコアが7.5と高い評価を受けており、攻撃の実行に特別な権限や利用者の操作を必要としない点から、早急な対応が推奨されている。

Zyxelファームウェアの脆弱性に関する考察

Zyxel製品のファームウェアに発見された脆弱性は、企業のネットワークインフラに重大な影響を及ぼす可能性がある深刻な問題である。特に影響を受ける製品群にはファイアウォール機器が含まれており、これらの機器がセキュリティの最前線として使用されていることを考慮すると、早急なパッチ適用と運用体制の見直しが必要不可欠だろう。

また、この脆弱性の特徴として攻撃の実行が比較的容易である点が挙げられ、多くの組織がリスクにさらされている可能性が高い。今後はファームウェアのアップデート管理をより厳格に行い、定期的なセキュリティ監査の実施や、異常検知の仕組みを強化することが求められるだろう。

さらに、長期的な対策としてゼロトラストセキュリティの導入やネットワークセグメンテーションの見直しなども検討が必要である。Zyxelには今回のような重大な脆弱性の早期発見・対応体制を強化し、製品開発段階でのセキュリティテストの充実化を期待したい。

参考サイト

1. ^ CVE. 「CVE-2024-11667 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-11667, (参照 24-12-06).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧