2023年6月1日 / 最終更新日 : 2023年6月1日 Kazuo_Komoriya ほぼこもセキュリティニュース

侵害される公開していないVPN機器

ほぼこもセキュリティニュース By Terilogy Worx

Zyxel Networksは、世界の多くの国に支社を持ち、150か国以上で販売されているネットワークデバイスメーカーです。
その製品の種類にはいろいろなものがありますが、中にはセキュリティに関連するジャンルの製品も多くあります。
そしてその中にはVPNの類の機器も多くあります。

Zyxelは、2023年4月25日にCVE-2023-28771に関するアドバイザリをリリースしました。
この脆弱性はZyxelのVPN機能を持つ製品に関するものでした。

CVE-2023-28771の悪用に成功すると、認証されていない攻撃者が特別に作成したIKEv2パケットをデバイス上のUDPポート500に送信することにより、ターゲットシステム上でリモートからコードを実行することが可能になります。
UDPの500は通常IKEの待ち受けがされるポートですので、何の疑いもありません。
非常に通常の使い方です。
通常ではないのはIKEのパケットが細工されたものであるという点のみです。

ここまでの話を見る限りではこのニュースはあぁまたですか、とは思いますが、特別に注目するポイントはないように思えました。
しかしちょっとこれまで見たニュースと異なる点が含まれていました。

この脆弱性はVPN製品のVPN機能の実装上の問題なのですが、この脆弱性はそのVPN機能の設定が標準状態の場合に脆弱であるというものなのでした。
VPN機器でVPN機能が設定されて利用されることは通常のことです。
そして妥当な設定で利用することが重要であるということは現在はそれなりに浸透しており、設定されるVPN機能の設定は正しいかを確認されているケースも多いのではないかと思います。
しかし、です。
VPN機器の使用していないVPN機能の設定が使っていない状態なのにすでに脆弱な状態だったとしたらいかがでしょうか。
利用していない、有効にしていないのに、そういう状態です。
その機器は利用しているのですが、その機器のVPNの機能は使っていないという状態です。
この状態で今回の脆弱性は脆弱な状態となってしまっていたのです。

こうなってしまうともはや利用者が妥当な設定で利用しようとしているかどうかでは安全を確保することはできません。
この問題に対応するためにとれる対策は、2つしかありません。
妥当にVPN機能を設定して利用するか、脆弱性の解消されたバージョン以降に更新するかです。
使う予定のないVPN機能を設定するということもないでしょうから、実質上対策は1つとなります。

自身の環境でどういった機器を利用しているか、そしてその機器ではバージョン管理は妥当に継続されているか。
こういった機器管理が危機管理の上で重要であるという一つの例に思えます。

参考記事(外部リンク):Widespread Exploitation of Zyxel Network Devices
www.rapid7.com/blog/post/2023/05/31/etr-widespread-exploitation-of-zyxel-network-devices/

カテゴリー
ほぼこもセキュリティニュース
ほぼこもセキュリティニュース
ほぼこもセキュリティNews②

前の記事

PHP Object Injection
2023年5月31日
ほぼこもセキュリティニュース
ほぼこもセキュリティNews②

次の記事

iMessageで来るゼロクリック攻撃
2023年6月2日