Trusted DesignCVE-2024-40890 の詳細
CVEの情報
説明:
**UNSUPPORTED WHEN ASSIGNED**
A post-authentication command injection vulnerability in the CGI program of the legacy DSL CPE Zyxel VMG4325-B10A firmware version 1.00(AAFR.4)C0_20170615 could allow an authenticated attacker to execute operating system (OS) commands on an affected device by sending a crafted HTTP POST request.
CVE更新日: 2025-02-04 10:15:08.717000
CVSSバージョン: 3.1
CVSSスコア: 8.8
KEVの情報
KEV更新日: 2025-02-11
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.458800000
EPSS更新日: 2026-04-16 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: False
CVE-2024-40890は、Zyxel製のレガシーDSL CPEデバイスに存在する認証後のコマンドインジェクションの脆弱性です。
1. 脆弱性の概要
Zyxel製のレガシーDSL CPEデバイスのCGIプログラムにおける、認証後のコマンドインジェクションの脆弱性です。認証された攻撃者が、特別に細工されたHTTP POSTリクエストを脆弱なCGIエンドポイントに送信することで、影響を受けるデバイス上で任意のOSコマンドを実行することが可能です。
1.1 影響
この脆弱性により、認証された攻撃者は影響を受けるデバイス上で任意のOSコマンドを実行でき、機密性、完全性、可用性に対して高い影響を与える可能性があり、システム全体の侵害につながる可能性があります。
1.2 深刻度
深刻度は「HIGH」と評価されています。 CVSS v3.1基本スコアは8.8です (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)。 CVSS v2.0基本スコアは9.0です。
2. 対象となる環境
2.1 影響を受けるOSバージョン
この脆弱性は、Zyxel製のレガシーDSL CPEデバイスのファームウェアに影響を与えます。具体的には、Zyxel VMG4325-B10Aファームウェアバージョン1.00(AAFR.4)C0_20170615が影響を受けます。 その他、以下のZyxel製品ファームウェアも影響を受けます。 * SBG3300-N000 ファームウェア * SBG3300-NB00 ファームウェア * SBG3500-N000 ファームウェア * SBG3500-NB00 ファームウェア * VMG1312-B10A ファームウェア * VMG1312-B10B ファームウェア * VMG1312-B10E ファームウェア * VMG3312-B10A ファームウェア * VMG3313-B10A ファームウェア * VMG3926-B10B ファームウェア * VMG4380-B10A ファームウェア * VMG8324-B10A ファームウェア * VMG8924-B10A ファームウェア
2.2 影響を受ける設定
この脆弱性は、CGIプログラムのHTTP POSTリクエスト処理における不十分な入力検証に起因します。 攻撃には、デバイスの管理インターフェースへのネットワークアクセスと有効な認証情報が必要です。
3. 影響を受けた時の兆候
この脆弱性は、CISAの既知の悪用されている脆弱性カタログ(KEV)に追加されており、実際に悪用が確認されています。 Miraiのようなマルウェアがこの脆弱性を悪用していることが知られています。
4. 推奨対策
4.1 本対策
影響を受ける製品は既にメーカーによるサポートが終了しているため、パッチは提供されません。 唯一の推奨される対策は、これらのレガシーDSL CPEデバイスを、より新しいサポートされているモデルに交換することです。 最新の緩和策が利用できない場合は、製品の使用を中止する必要があります。
4.2 暫定回避策(緩和策)
参照したサイト: * CVE-2024-40890: Zyxel VMG1312-B10A Firmware RCE Flaw - SentinelOne * CVE-2024-40890 Detail - NVD * CVE Record: CVE-2024-40890 - Zyxel Corporation * CVE-2024-40890 | Tenable® * CVE-2024-40890 - Exploits & Severity - Feedly * What is CVE-2024-40890? Vulnerability Analysis | Security Advisory | Precursor Intelligence * 米当局、悪用が確認されている脆弱性6件に注意喚起 - Security NEXT * UNSUPPORTED WHEN ASSIGNED** A post-authentication... · CVE-2024-40890 - GitHub * Active Exploitation Risks: CISA Adds 4 Critical Vulnerabilities - Cyble * January 2025 - IoT OT Security News * Zyxel security advisory for command injection and insecure default credentials vulnerabilities in certain legacy DSL CPE * Zyxel CPEデバイスの脆弱性に対する悪用試行が始まる パッチ不在の中(CVE-2024-40891) * 2024年8月版 最速!危険度の高い脆弱性をいち早く解説「脆弱性研究所」第25回 * JVNDB-2024-018958 - JVN iPedia - 脆弱性対策情報データベース