脆弱性
昨年12月下旬、Zyxelのデバイスに存在する脆弱性(英語)が、オランダ企業EYEのリサーチャーであるニルス・テューシンク(Niels Teusink)氏によって報告されました。多数のハードウェアファイアウォールおよび無線LANコントローラーに、文書化されていない管理者レベルのアカウント「zyfwp」が存在し、そのパスワードがハードコードされています。ファームウェアコード内には、このパスワードが平文で含まれていました。影響を受けるデバイスのファームウェアを直ちにアップデートする必要があります。
どのようなリスクがあるか
このアカウントがあれば、部外者でもWebインターフェイスまたはSSHプロトコルを通じてデバイスに接続し、管理者レベルの権限を獲得可能です。このアカウントは無効化できず、アカウントのパスワードを変更することもできません。つまり、デバイスの設定を変更することでは、この脆弱性をふさぐことができません。
テューシンク氏によると、一部デバイスでは、Webインターフェイスへのアクセスに使用するポート443をSSL VPNにも使用しています。そのため、多くのネットワーク上で、このポートがインターネットからのアクセスに対してオープンになっています。このごろは新型コロナウイルスの世界的流行の影響で世界各地の社員がテレワークしているため、企業リソースへのリモートアクセスの需要が高まっています。
このアカウントを使用すると、企業境界の内側にあるリソースへアクセスするための新規アカウントを作成可能です。このほか、デバイスの再設定や、トラフィックの遮断または傍受にも利用される可能性があります。
テューシンク氏は倫理およびセキュリティの両面からパスワードを公表していませんが、どこで見つかるかのヒントは示されているため、サイバーセキュリティ界隈ではパスワードが特定され公になっています。スキルの低いハッカーでもこの脆弱性を悪用可能な状況であることから、危険は大きくなっていると言えるでしょう。
脆弱性の影響を受けるデバイス
この脆弱性の影響を受けるのは、小規模企業向けファイアウォールデバイスのATPシリーズ、USGシリーズ、USG FLEXシリーズ、VPNシリーズで、ファームウェアバージョンがZLD v4.60である場合です。直ちにファームウェア更新が必要な機種と対応するパッチの詳細情報については、ZyXelの公式Webサイト(英語)をご確認ください。
このほか、無線LANコントローラーのNXC2500およびNXC5500(ファームウェアバージョンv6.00〜v6.10)も脆弱性の影響を受けます。パッチ入手に関しては、ZyXelの公式Webサイト(英語)をご確認ください。
この脆弱性は、古いバージョンのファームウェアには影響しませんが、古いファームウェアを使用していれば安全だという意味ではありません。ファームウェアの新バージョンが作成されるのには理由があり、ファームウェアの更新は基本的に、デバイスの安全を保つことでもあります。
対策
まずは、脆弱性を抱えるデバイスのファームウェアをすぐにアップデートしましょう。パッチはZyXelのフォーラムで公開されています(英語)。使用中のデバイスに適用可能なパッチがまだ公開されていない場合は、このフォーラムを継続的にウォッチして、公開され次第すぐに適用してください。
これに加え、ワークステーション向けの強力なセキュリティソリューションの導入もお勧めします。攻撃者の手が企業ネットワークへ及ぶ前に、従業員が使用するコンピューターに保護を講じておきましょう。
ヒント