サイバーセキュリティの話になると、問題はいつも遠いところにあり、自分には関係なく他人事だと思い込む罠に陥りがちです。しかし現実には、脆弱性は常にすぐそばに潜み、いつでも襲いかかる準備ができています。
自律型の人工知能エージェントの群れが、世界中で使用されているネットワーク機器に重大な欠陥を発見しました。これは誰にとっても警鐘となるはずです。
pwn.aiのレポートは、中国のベンダーでルーターやSD-WAN機器で知られるXspeederが製造するデバイスにおける、事前認証不要のリモートコード実行(RCE)脆弱性の発見を詳細に説明しています。CVE-2025-54322として追跡されているこの欠陥は、CVSSスコア10で、事実上いつ爆発してもおかしくない時限爆弾のようなものです。だからこそ、この脆弱性を認識し、その影響を理解することが不可欠です。
自動スキャナーは以前から存在していましたが、pwn.aiは今回の発見は能力面で大きな飛躍を示すものだと主張しています。同社のプラットフォームはデバイスのファームウェアを自律的にエミュレートし、攻撃対象領域を特定し、人間の介入なしにアクセスする方法を設計しました。 「私たちの知る限り、これはエージェントによって発見され、遠隔から悪用可能として公開された初のRCE 0dayです」 と、レポートは述べています。
主要ファームウェアSXZOSで動作するXspeederのSD-WANデバイスが、人工知能エージェントの標的となりました。これらの機器は工業環境や遠隔拠点に設置されることが多く、企業ネットワーク内の重要なノードを構成します。デバイスをエミュレートして不正な制御を獲得することを目的に、エージェントには基本的な指示が与えられました。その結果は迅速で、破壊的な影響をもたらし得るものでした。研究者らは、「彼らは完全なpre-authのRCE侵入口を素早く特定し、侵入する方法を見つけたと私たちに伝えてきた」と説明しています。
この脆弱性により、攻撃者はログインすることなく任意のシステムコマンドを実行できます。特定のHTTPヘッダーを操作し、とりわけUser-Agent SXZ/2.3と、時間に基づいて計算されるX-SXZ-Rヘッダーを用いることで、エージェントはデバイスのNginxミドルウェアにおけるセキュリティチェックを回避することに成功しました。
この脆弱性は現在ゼロデイであり、つまりパッチが存在しません。pwn.aiは責任ある開示のためにXspeederへ6か月以上連絡を試みたものの、返答を得られなかったとされています。レポートには、「他のベンダーとは異なり、7か月以上にわたって連絡を取ったにもかかわらずXSpeederから一切の返答を得られなかったため、これを最初の報告として選んだ」とあります。「その結果、公開時点でこれは残念ながらゼロデイ脆弱性のままです」。
ベンダーからの反応がないことは、これらのデバイスが広く普及している点を踏まえると、特に懸念されます。Fofaのようなフィンガープリンティングサービスによれば、露出している多数のシステムが確認されています。世界のさまざまな地域で、SXZOSに依存する数万のシステムが一般公開状態でアクセス可能であり、この状況は当該ファームウェア、そしてそれが露呈し得る潜在的な脆弱性を、広大なリスク面にしています。
パッチがリリースされるまで、Xspeeder SD-WANデバイスを使用している組織は、結果を悪用しようとする脅威アクターによる侵害の可能性を防ぐため、これらのデバイスを公開インターネットから隔離するよう求められています。
なお、この0dayバグの開示自体は数か月前にさかのぼりますが、脆弱性の協調開示の考え方に基づき、製造元が安全にパッチをリリースできるようにするため、同社が公式に言及するのは今日になってからです。インテリジェントエージェントは徐々に重要性を増しており、近い将来スキャン作業の自動化に利用されるでしょう。それでも、運用環境で起こり得る影響を常に念頭に置くことが不可欠です。
この記事は気に入りましたか?私たちのコミュニティでLinkedIn、Facebook、Instagramにて議論しています。Google Newsでもフォローして、サイバーセキュリティに関する日々の更新を受け取ってください。掲載したいニュース、深掘り記事、寄稿のご連絡はこちらまでお寄せください。
翻訳元: https://www.redhotcyber.com/post/ia-rce-0day-xspeeder-sd-wan/