Zyxelは5月12日(米国時間)、「Zyxel security advisory for OS command injection vulnerability of firewalls|Zyxel」において、同社の複数のファイアウォールにOSコマンドインジェクションの脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によってリモートから任意のコードが実行される可能性があるとされている。

  • Zyxel security advisory for OS command injection vulnerability of firewalls|Zyxel

    Zyxel security advisory for OS command injection vulnerability of firewalls|Zyxel

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • USG FLEX 100(W), 200, 500, 700 ZLD V5.00からZLD V5.21 Patch 1までのバージョン
  • USG FLEX 50(W) / USG20(W)-VPN ZLD V5.10からZLD V5.21 Patch 1までのバージョン
  • ATP series ZLD V5.10からZLD V5.21 Patch 1までのバージョン
  • VPN series ZLD V4.60からZLD V5.21 Patch 1までのバージョン

脆弱性が修正されたバージョンは次のとおり。

  • ZLD V5.30

修正対象となっている脆弱性は「CVE-2022-30525」として特定されている。脆弱性の深刻度はCVSSv3スコア9.8で深刻(Critical)と評価されており注意が必要。

この脆弱性はRapid 7が発見したものとされ、詳細は「CVE-2022-30525 (FIXED): Zyxel Firewall Unauthenticated Remote Command Injection | Rapid7 Blog」においても説明されている。該当するプロダクトを使用している場合にはこれら情報を確認するとともに、内容に従って最新のファームウェアへアップグレードすることが望まれる。