Zyxelのルータやアクセスポイントに緊急の脆弱性、アップデートを
Zyxelは9月3日(現地時間)、「Zyxel security advisory for OS command injection vulnerability in APs and security router devices|Zyxel Networks」において、同社のセキュリティルータおよびアクセスポイントに緊急の脆弱性が存在すると発表した。この脆弱性を悪用されると、認証されていない第三者に遠隔からOSコマンドを実行される可能性がある。
Zyxel security advisory for OS command injection vulnerability in APs and security router devices|Zyxel Networks
○脆弱性の概要
脆弱性の情報(CVE)は次のとおり。
CVE-2024-7261 - パラメーター「host」内の特殊要素を不適切に無効化できる脆弱性。攻撃者は特別に細工したCookieを送信することで、OSコマンドを実行できる可能性がある
○脆弱性が存在する製品
脆弱性が存在するとされる製品およびバージョンは次のとおり。
NWA50AX 7.00(ABYW.1)およびこれ以前のバージョン
NWA50AX PRO 7.00(ACGE.1)およびこれ以前のバージョン
NWA55AXE 7.00(ABZL.1)およびこれ以前のバージョン
NWA90AX 7.00(ACCV.1)およびこれ以前のバージョン
NWA90AX PRO 7.00(ACGF.1)およびこれ以前のバージョン
NWA110AX 7.00(ABTG.1)およびこれ以前のバージョン
NWA130BE 7.00(ACIL.1)およびこれ以前のバージョン
NWA210AX 7.00(ABTD.1)およびこれ以前のバージョン
NWA220AX-6E 7.00(ACCO.1)およびこれ以前のバージョン
NWA1123-AC PRO 6.28(ABHD.0)およびこれ以前のバージョン
NWA1123ACv3 6.70(ABVT.4)およびこれ以前のバージョン
WAC500 6.70(ABVS.4)およびこれ以前のバージョン
WAC500H 6.70(ABWA.4)およびこれ以前のバージョン
WAC6103D-I 6.28(AAXH.0)およびこれ以前のバージョン
WAC6502D-S 6.28(AASE.0)およびこれ以前のバージョン
WAC6503D-S 6.28(AASF.0)およびこれ以前のバージョン
WAC6552D-S 6.28(ABIO.0)およびこれ以前のバージョン
WAC6553D-E 6.28(AASG.2)およびこれ以前のバージョン
WAX300H 7.00(ACHF.1)およびこれ以前のバージョン
WAX510D 7.00(ABTF.1)およびこれ以前のバージョン
WAX610D 7.00(ABTE.1)およびこれ以前のバージョン
WAX620D-6E 7.00(ACCN.1)およびこれ以前のバージョン
WAX630S 7.00(ABZD.1)およびこれ以前のバージョン
WAX640S-6E 7.00(ACCM.1)およびこれ以前のバージョン
WAX650S 7.00(ABRM.1)およびこれ以前のバージョン
WAX655E 7.00(ACDO.1)およびこれ以前のバージョン
WBE530 7.00(ACLE.1)およびこれ以前のバージョン
WBE660S 7.00(ACGG.1)およびこれ以前のバージョン
USG LITE 60AX V2.00(ACIP.2)
○脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
NWA50AX 7.00(ABYW.2)
NWA50AX PRO 7.00(ACGE.2)
NWA55AXE 7.00(ABZL.2)
NWA90AX 7.00(ACCV.2)
NWA90AX PRO 7.00(ACGF.2)
NWA110AX 7.00(ABTG.2)
NWA130BE 7.00(ACIL.2)
NWA210AX 7.00(ABTD.2)
NWA220AX-6E 7.00(ACCO.2)
NWA1123-AC PRO 6.28(ABHD.3)
NWA1123ACv3 6.70(ABVT.5)
WAC500 6.70(ABVS.5)
WAC500H 6.70(ABWA.5)
WAC6103D-I 6.28(AAXH.3)
WAC6502D-S 6.28(AASE.3)
WAC6503D-S 6.28(AASF.3)
WAC6552D-S 6.28(ABIO.3)
WAC6553D-E 6.28(AASG.3)
WAX300H 7.00(ACHF.2)
WAX510D 7.00(ABTF.2)
WAX610D 7.00(ABTE.2)
WAX620D-6E 7.00(ACCN.2)
WAX630S 7.00(ABZD.2)
WAX640S-6E 7.00(ACCM.2)
WAX650S 7.00(ABRM.2)
WAX655E 7.00(ACDO.2)
WBE530 7.00(ACLE.2)
WBE660S 7.00(ACGG.2)
USG LITE 60AX V2.00(ACIP.3)
○対策
この脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。該当製品のうちアクセスポイント製品の管理者に対しては、開発者の提供する情報を確認してアップデートすることが推奨されている。一方、セキュリティルータ「USG LITE 60AX」はクラウドから自動更新されるため、手動でのアップデートは不要。
○脆弱性の概要
脆弱性の情報(CVE)は次のとおり。
CVE-2024-7261 - パラメーター「host」内の特殊要素を不適切に無効化できる脆弱性。攻撃者は特別に細工したCookieを送信することで、OSコマンドを実行できる可能性がある
○脆弱性が存在する製品
脆弱性が存在するとされる製品およびバージョンは次のとおり。
NWA50AX 7.00(ABYW.1)およびこれ以前のバージョン
NWA50AX PRO 7.00(ACGE.1)およびこれ以前のバージョン
NWA55AXE 7.00(ABZL.1)およびこれ以前のバージョン
NWA90AX 7.00(ACCV.1)およびこれ以前のバージョン
NWA90AX PRO 7.00(ACGF.1)およびこれ以前のバージョン
NWA110AX 7.00(ABTG.1)およびこれ以前のバージョン
NWA130BE 7.00(ACIL.1)およびこれ以前のバージョン
NWA210AX 7.00(ABTD.1)およびこれ以前のバージョン
NWA220AX-6E 7.00(ACCO.1)およびこれ以前のバージョン
NWA1123-AC PRO 6.28(ABHD.0)およびこれ以前のバージョン
NWA1123ACv3 6.70(ABVT.4)およびこれ以前のバージョン
WAC500 6.70(ABVS.4)およびこれ以前のバージョン
WAC500H 6.70(ABWA.4)およびこれ以前のバージョン
WAC6103D-I 6.28(AAXH.0)およびこれ以前のバージョン
WAC6502D-S 6.28(AASE.0)およびこれ以前のバージョン
WAC6503D-S 6.28(AASF.0)およびこれ以前のバージョン
WAC6552D-S 6.28(ABIO.0)およびこれ以前のバージョン
WAC6553D-E 6.28(AASG.2)およびこれ以前のバージョン
WAX300H 7.00(ACHF.1)およびこれ以前のバージョン
WAX510D 7.00(ABTF.1)およびこれ以前のバージョン
WAX610D 7.00(ABTE.1)およびこれ以前のバージョン
WAX620D-6E 7.00(ACCN.1)およびこれ以前のバージョン
WAX630S 7.00(ABZD.1)およびこれ以前のバージョン
WAX640S-6E 7.00(ACCM.1)およびこれ以前のバージョン
WAX650S 7.00(ABRM.1)およびこれ以前のバージョン
WAX655E 7.00(ACDO.1)およびこれ以前のバージョン
WBE530 7.00(ACLE.1)およびこれ以前のバージョン
WBE660S 7.00(ACGG.1)およびこれ以前のバージョン
USG LITE 60AX V2.00(ACIP.2)
○脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
NWA50AX 7.00(ABYW.2)
NWA50AX PRO 7.00(ACGE.2)
NWA55AXE 7.00(ABZL.2)
NWA90AX 7.00(ACCV.2)
NWA90AX PRO 7.00(ACGF.2)
NWA110AX 7.00(ABTG.2)
NWA130BE 7.00(ACIL.2)
NWA210AX 7.00(ABTD.2)
NWA220AX-6E 7.00(ACCO.2)
NWA1123-AC PRO 6.28(ABHD.3)
NWA1123ACv3 6.70(ABVT.5)
WAC500 6.70(ABVS.5)
WAC500H 6.70(ABWA.5)
WAC6103D-I 6.28(AAXH.3)
WAC6502D-S 6.28(AASE.3)
WAC6503D-S 6.28(AASF.3)
WAC6552D-S 6.28(ABIO.3)
WAC6553D-E 6.28(AASG.3)
WAX300H 7.00(ACHF.2)
WAX510D 7.00(ABTF.2)
WAX610D 7.00(ABTE.2)
WAX620D-6E 7.00(ACCN.2)
WAX630S 7.00(ABZD.2)
WAX640S-6E 7.00(ACCM.2)
WAX650S 7.00(ABRM.2)
WAX655E 7.00(ACDO.2)
WBE530 7.00(ACLE.2)
WBE660S 7.00(ACGG.2)
USG LITE 60AX V2.00(ACIP.3)
○対策
この脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。該当製品のうちアクセスポイント製品の管理者に対しては、開発者の提供する情報を確認してアップデートすることが推奨されている。一方、セキュリティルータ「USG LITE 60AX」はクラウドから自動更新されるため、手動でのアップデートは不要。