公開日:2020/02/25 最終更新日:2020/02/28

JVNVU#97748968
複数の ZyXEL 製品に含まれる weblogin.cgi にコマンドインジェクションの脆弱性

概要

複数の ZyXEL 製品に含まれる weblogin.cgi には、任意のコマンドが実行可能な脆弱性が存在します。

影響を受けるシステム

影響を受ける製品は多岐に渡ります。
詳しくはベンダが提供する情報を参照してください。

詳細情報

OS コマンドインジェクション (CWE-78) - CVE-2020-9054

ZyXEL が提供している複数の製品では、CGI 実行ファイル weblogin.cgi を使用して認証が行われます。この weblogin.cgi では、渡された username パラメータの無害化処理が適切に行われません。username パラメータに特定の文字が含まれる場合、ZyXEL 機器で動作している web サーバの権限でコマンドインジェクションが可能になります。web サーバは root ユーザとして動作しませんが、ZyXEL 機器には setuid ユーティリティがあり、これを悪用すると root 権限で任意のコマンドを実行できます。

本脆弱性について、ZyXEL 製 NAS 製品を対象としたエクスプロイトコードがインターネット上で公開されています。CERT/CC は、影響を受ける ZyXEL 製の NAS 機器の電源を切ることができる概念実証Webサイト (PoC exploit)を提供しています。

想定される影響

認証されていない遠隔の第三者が、本脆弱性のある ZyXEL 機器に特別に細工した HTTP POST または GET リクエストを送ることで、機器上で任意のコードを実行する可能性があります。

対策方法

アップデートする
次の製品について、開発者はこの脆弱性に対処したファームウエアを提供しています。
開発者が提供する情報をもとに、最新版にアップデートしてください。
なお、当該製品のファームウェアは FTP でダウンロードされ、アップデートファイルの改ざん検知は電子署名ではなくチェックサムの検証により行われることに注意してください。

  • NAS326、NAS520、NAS540、NAS542、ATP100、ATP200、ATP500、ATP800、USG20-VPN、USG20W-VPN、USG40、USG40W、USG60、USG60W、USG110、USG210、USG310、USG1100、USG1900、USG2200、VPN50、VPN100、VPN300、VPN1000、ZyWALL110、ZyWALL310 および ZyWALL1100
ワークアラウンドを実施する
次の製品についてはサポートが終了しており、修正プログラムが提供されません。
  • NSA210、NSA220、NSA220+、NSA221、NSA310、NSA310S、NSA320、NSA320S、NSA325 および NSA325v2
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。
  • 当該機器の web インターフェースへのアクセス (80/tcp または 443/tcp) をファイアウォールなどでブロックする
  • 当該機器へのアクセスを制限する。特に、当該機器をインターネットに直接接続しないようにする

ベンダ情報

ベンダ リンク
Zyxel Zyxel security advisory for the remote code execution vulnerability of NAS products

参考情報

  1. CERT/CC Vulnerability Note VU#498544
    ZyXEL NAS pre-authentication command injection in weblogin.cgi
  2. KrebsOnSecurity
    Zyxel Fixes 0day in Network Storage Devices

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
基本値: 9.8
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:N/AC:L/Au:N/C:C/I:C/A:C
基本値: 10.0
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-9054
JVN iPedia

更新履歴

2020/02/28
[影響を受けるシステム] の変更に伴い、全体的に内容を修正しました。