全1563文字
PR

著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。

 今回は3件のトピックを紹介する。台湾ベンダーのネットワーク機器の脆弱性と、東急レクリエーションのメールアカウント乗っ取り被害、コーエーテクモホールディングスの海外子会社からの情報流出である。

APを自動アップデートにするための管理者アカウント(12月23日)

 台湾のネットワーク機器ベンダーZyxel Networks(ザイセルネットワーク)は同社のファイアウオールなど一部の製品に見つかった脆弱性に関するセキュリティー情報を公開した。この脆弱性を悪用されると、外部から管理者アカウントでログインされて機器を乗っ取られる可能性がある。

ネットワーク機器の脆弱性に関するセキュリティー情報
ネットワーク機器の脆弱性に関するセキュリティー情報
(出所:Zyxel Networks)

 対象となるのは、Zyxelのファイアウオールと無線LANアクセスポイント(AP)のコントローラーの一部。同社は2020年に公開したパッチで、配下にあるAPのファームウエアを外部から自動で更新できる機能をこれらの機器に追加した。

 今回見つかった脆弱性(CVE-2020-29583)はこの自動更新機能で利用する管理者アカウント「zyfwp」のパスワードがどの機器でも共通で、しかもファームウエアに記録されているため利用者が変更できないというもの。この管理者パスワードはZyxelや脆弱性を発見したオランダのセキュリティーベンダーなどのWebページでは伏せられているが、インターネット上にはパスワードの文字列が出回っていることを筆者は確認した。利用者は機器の使用を中止するか、脆弱性を修正するパッチを適用する方法しか攻撃を完全に回避する方法がない。

 脆弱性を修正するファイアウオール向けのパッチは公開済み。APコントローラー向けのパッチは2021年1月8日に配信される予定としている。

https://www.zyxel.com/support/CVE-2020-29583.shtml