XSpeederデバイスに、認証なしで任意のコードをリモート実行できる可能性のある重大な脆弱性が発見されました。XSpeederは企業環境向けのネットワーク機器を製造する中国メーカーで、その製品は遠隔地の支社オフィスや産業インフラに配備され、複数の国で積極的に利用されています。
技術プラットフォームPwn.aiによると、この欠陥はインターネットに直接露出している70,000台以上のデバイスに影響します。この機器は、遠隔地の支社や産業施設のインフラで特に広く普及しています。
この脆弱性には識別子CVE-2025-54322が割り当てられました。攻撃者は資格情報を一切提示することなくスーパーユーザー権限を取得できます。根本原因は、XSpeeder独自のオペレーティングシステムSXZOSを実行するデバイスのWebベース認証レイヤー内の欠陥にあります。ファームウェア解析により、初歩的な保護機構の連なりを回避して重要なエンドポイントへアクセスできることが明らかになりました。
攻撃の中心的な役割を担うのはeval()関数で、base64でデコードされ、リクエストパラメータを介して渡されるデータを実行します。この入力検証の手法は極めて危険だと考えられています。調査担当者は、Cookieセッションチェック、単純なペイロードスキャン、時刻同期ヘッダーといった脆弱な防御策では、悪用を防ぐには不十分であることを突き止めました。
攻撃者は単一のGETリクエストだけで任意のPythonコードを注入し、root権限でシステムコマンドを実行できます。さらに状況を悪化させているのは、脆弱性が特定されてから7か月が経過しているにもかかわらず、ベンダーが報告に応答せず、この問題に対処するパッチも公開していない点です。
研究者らは、XSpeederの長期にわたる無反応を理由に、まさにそのためにこのデバイスに関する情報を最初に公開することを選んだと述べています。また、この事案のより広い意義も強調しています。自律型の自動テストツールを用いてリモートコード実行の脆弱性が特定された既知の初の事例だというのです。このようなアプローチにより、従来手法では見逃されかねない重大な欠陥を発見できる可能性があります。
SXZOSを実行するXSpeederデバイスを使用している組織には、直ちにこれらのシステムへのアクセスを制限し、外部ネットワークから隔離し、ルーティングレベルでのトラフィックフィルタリングを実装することが強く推奨されます。この事案は、企業向けネットワーク機器に深刻な脆弱性が存在する場合、メーカーが関与しないことがいかに危険であるかを如実に示しています。
