ZyXEL、ZyXEL製ルータに複数の脆弱性を確認

  • 元記事:ZyXEL NBG-418N, PMG5318-B20A and P-660HW-T1 routers contain multiple vulnerabilities
  • HP:ZyXEL
  • 発表日時 2015/10/13

    ZyXEL製ルータに複数の脆弱性が確認された。影響を受けるのはZyXEL P-660HW-T1 v2 with ZyNOS firmware version: V3.40(AXH.0) 、ZyXEL PMG5318-B20A, firmware version V100AANC0b5、ZyXEL NBG-418Nで、脆弱な初期パスワード、入力値の検証不備によるコマンドインジェクション、クロスサイトスクリプティングの脆弱性が存在する。
    該当のルータの初期パスワードは「1234」と設定され、クロスサイトスクリプティングは LoginPassword および hiddenPasswordに存在する。その他、入力確認ではdiagnostic ping function の PingIPAddr パラメータがユーザの入力項目を適切に検証しない、セッションの有効期限ではログアウト後もセッションが有効、認証では管理権限を持たないユーザアカウントにすべての管理権限が与えられる問題が存在する。これらの脆弱性が悪用されると、攻撃者にシステムの設定を改ざんされる恐れがある。解決策として、同社は過去に一部問題を修正しておりアップデートするよう推奨している。残りの未修正の脆弱性は10月に修正される予定となっている。また、初期設定のパスワードは変更するよう呼びかけている。