XSpeederのSXZOSファームウェアに重大なリモートコード実行(RCE)の脆弱性が特定され、世界中で7万台を超えるネットワーク機器に影響しています。
CVE-2025-54322として追跡されているこの脆弱性により、攻撃者は認証や資格情報を一切必要とせずに、脆弱なシステムを完全に制御できるようになります。
XSpeederは中国のネットワークベンダーで、SD-WAN機器、ルーター、エッジアプライアンスを製造しており、世界中のリモートオフィスや産業環境で広く導入されています。
発見された欠陥は同社のSXZOSファームウェアのWebインターフェースに存在し、悪用にはHTTPリクエスト1回だけで足ります。
成功すると、攻撃者はroot権限のアクセスを獲得し、機器を完全に制御できるようになります。
この脆弱性は、ファームウェア内のセキュリティ欠陥を特定するために設計された高度なAIエージェントを用い、自律型サイバーセキュリティ研究プラットフォームであるpwn.aiによって発見されました。
研究チームは、ファームウェア解析からリモートコード実行の成功に至るまで、悪用プロセス全体を文書化することで、攻撃がどのように機能するかを意図的に明らかにしました。
7か月以上前に脆弱性を発見していたにもかかわらず、研究チームは修正に関してXSpeederから何の回答も得られませんでした。
責任ある情報開示の慣行に従い、同チームは2025年12月26日に脆弱性の詳細を公開し、その時点で利用可能なパッチがない0デイ欠陥となりました。
この攻撃は主に3つの弱点を悪用します。古い認証チェック、不適切な入力検証、そして信頼できないデータに対してPythonのeval()関数を使用している点です。
XSpeeder SXZOS機器を運用している組織は、パッチが提供されるまで、これらが重大に侵害されているものとして扱うべきです。
支社オフィスや遠隔の産業拠点にこれらの機器が広く導入されていることから、この脆弱性はサプライチェーンセキュリティにとって特に危険です。
セキュリティチームは直ちにネットワークインフラを棚卸しし、使用中のXSpeeder機器を特定するとともに、これらのシステムを狙う不審なHTTPトラフィックを監視すべきです。
セキュリティ更新についてXSpeederに連絡するか、暫定的な緩和策としてネットワーク分離措置を検討してください。
翻訳元: https://cyberpress.org/0-day-rce-flaw/