ネットワーク機器メーカーのZyxelは9月6日(米国時間)、「Zyxel security advisory for format string vulnerability in NAS|Zyxel」において、同社のネットワークアタッチトストレージ(NAS: Network Attached Storage)に影響を与える重大なセキュリティ上の欠陥に対するパッチをリリースしたと伝えた。
この欠陥はCVE-2022-34747として特定されており、脆弱性の深刻度はCVSSv3スコア値9.8でCritical(緊急)と位置づけられている。影響するモデルは複数あり、ネットワークアタッチトストレージ製品の特定のバイナリにフォーマット文字列の脆弱性があるとされている。巧妙に細工されたUDPパケットを介して不正なリモートコードが実行されてしまう可能性がある。
脆弱性を受ける製品およびバージョンは次のとおり。
- NAS326: V5.21(AAZF.11)C0以前のバージョン
- NAS540: V5.21(AATB.8)C0以前のバージョン
- NAS542: V5.21(ABAG.8)C0以前のバージョン
NASのハッキングは一般的になってきている。予防策を講じず、ソフトウェアを最新の状態にしない場合、機密データや個人データが窃取され、データが完全に削除されてしまう危険性がある。NASを利用しているユーザーは、ベンダーが提供するセキュリティ情報を確認するとともに、必要に応じてアップデートや緩和策を適用することが望まれる。