XSpeederのネットワーク機器に、認証不要の深刻なリモートコード実行(RCE)脆弱性が発見され、世界中で公開アクセス可能なホスト7万台以上に影響する可能性があります。
CVE-2025-54322として追跡されているこの欠陥により、攻撃者は認証情報なしでroot権限レベルのアクセスを取得できます。
| CVE ID | 脆弱性の種類 | 深刻度 | 影響を受けるシステム | 認証の要否 |
|---|---|---|---|---|
| CVE-2025-54322 | 認証不要のroot RCE | 重大 | 約70,000台以上のXSpeeder SXZOSデバイス | 不要 |
これらのシステムは、世界各地の遠隔地の産業環境や支社オフィス環境で特に広く利用されています。
Pwn.aiによると、XSpeederベースのシステムが数万台、パブリックインターネット上に露出しており、広範な攻撃対象領域を生み出しています。
技術的詳細
脆弱性は、SXZOSデバイスのWeb認証レイヤーに存在します。研究者は、ファームウェア解析と実機での悪用を通じて、認証前RCEの侵入口を自律的に特定しました。
この欠陥は、時刻同期されたnonceヘッダー、セッションCookieの検証、そして脆弱なエンドポイントを保護できない稚拙なペイロードスキャンなど、表面的な複数のセキュリティゲートを連鎖させて回避します。
攻撃は、クエリパラメータからのbase64デコード済みユーザー入力を処理する危険な eval() 関数を悪用します。
単純なミドルウェア保護を回避することで、攻撃者は任意のPythonコードを注入し、単一のHTTP GETリクエストでroot権限によりシステムコマンドを実行できます。
この脆弱性は、公開時点で未修正のままです。7か月にわたる文書化された連絡の試みにもかかわらず、XSpeederは脆弱性の開示に応答していません。
研究者がこのデバイスを最初の公開開示対象として選んだのは、ベンダーの無反応さが理由です。
注目すべき点として、これは自律型ペネトレーションテスト手法を用いて公開された、エージェント発見による遠隔から悪用可能なゼロデイRCEの初事例であり、従来手法では見落とされ得る重大な欠陥を、AI駆動の脆弱性研究が特定できる能力を示しています。
XSpeeder SXZOSデバイスを運用している組織は、影響を受けるシステムを直ちに信頼できないネットワークから隔離し、ネットワークレベルのアクセス制御を実装すべきです。
この脆弱性は、産業および支社向けネットワーク領域において、セキュリティパッチが脅威の発見に大きく遅れがちな状況の中、無反応なベンダーがもたらす重大なリスクを端的に示しています。
翻訳元: https://gbhackers.com/critical-zero-day-rce-flaw-in-networking-devices/
