【活用ガイド】

JVNDB-2020-001758

複数の ZyXEL 製品に含まれる weblogin.cgi にコマンドインジェクションの脆弱性

概要

複数の ZyXEL 製品に含まれる weblogin.cgi には、任意のコマンドが実行可能な脆弱性が存在します。

OS コマンドインジェクション (CWE-78) - CVE-2020-9054

ZyXEL が提供している複数の製品では、CGI 実行ファイル weblogin.cgi を使用して認証が行われます。この weblogin.cgi では、渡された username パラメータの無害化処理が適切に行われません。username パラメータに特定の文字が含まれる場合、ZyXEL 機器で動作している web サーバの権限でコマンドインジェクションが可能になります。web サーバは root ユーザとして動作しませんが、ZyXEL 機器には setuid ユーティリティがあり、これを悪用すると root 権限で任意のコマンドを実行できます。

本脆弱性について、ZyXEL 製 NAS 製品を対象としたエクスプロイトコードがインターネット上で公開されています。CERT/CC は、影響を受ける ZyXEL 製の NAS 機器の電源を切ることができる概念実証Webサイト (PoC exploit)を提供しています。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 9.8 (緊急) [JPCERT/CC値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
CVSS v2 による深刻度
基本値: 10.0 (危険) [JPCERT/CC値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): 全面的
  • 可用性への影響(A): 全面的
影響を受けるシステム

影響を受ける製品は多岐に渡ります。
詳しくはベンダが提供する情報を参照してください。

ZyXEL
  • ATP100 ファームウェア
  • ATP200 ファームウェア
  • ATP500 ファームウェア
  • ATP800 ファームウェア
  • NAS 326 ファームウェア
  • NAS 520 ファームウェア
  • NAS 540 ファームウェア
  • NAS 542 ファームウェア
  • USG20-VPN ファームウェア
  • USG20W-VPN ファームウェア

想定される影響

認証されていない遠隔の第三者が、本脆弱性のある ZyXEL 機器に特別に細工した HTTP POST または GET リクエストを送ることで、機器上で任意のコードを実行する可能性があります。
対策

[アップデートする]
次の製品について、開発者はこの脆弱性に対処したファームウエアを提供しています。
開発者が提供する情報をもとに、最新版にアップデートしてください。
なお、当該製品のファームウェアは FTP でダウンロードされ、アップデートファイルの改ざん検知は電子署名ではなくチェックサムの検証により行われることに注意してください。

* NAS326、NAS520、NAS540、NAS542、ATP100、ATP200、ATP500、ATP800、USG20-VPN、USG20W-VPN、USG40、USG40W、USG60、USG60W、USG110、USG210、USG310、USG1100、USG1900、USG2200、VPN50、VPN100、VPN300、VPN1000、ZyWALL110、ZyWALL310 および ZyWALL1100


[ワークアラウンドを実施する]
次の製品についてはサポートが終了しており、修正プログラムが提供されません。

* NSA210、NSA220、NSA220+、NSA221、NSA310、NSA310S、NSA320、NSA320S、NSA325 および NSA325v2

次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。

* 当該機器の web インターフェースへのアクセス (80/tcp または 443/tcp) をファイアウォールなどでブロックする
* 当該機器へのアクセスを制限する。特に、当該機器をインターネットに直接接続しないようにする
ベンダ情報

ZyXEL
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2020-9054
参考情報

  1. JVN : JVNVU#97748968
  2. National Vulnerability Database (NVD) : CVE-2020-9054
  3. US-CERT Vulnerability Note : VU#498544
  4. 関連文書 : Zyxel Fixes 0day in Network Storage Devices
更新履歴

  • [2020年02月26日]
      掲載
  • [2020年03月02日]
      タイトル:内容を更新
      概要:内容を更新
      影響を受けるシステム:内容を更新
      対策:内容を更新
  • [2020年04月21日]
      参考情報:National Vulnerability Database (NVD) (CVE-2020-9054) を追加

公表日2020/02/24
登録日2020/02/26
最終更新日2020/04/21