zyxel command injectionとは?
ノートンなどのウイルスソフトで
「Zyxel Command Injection CVE-2023-28771からの攻撃を遮断しました。」
という警告メッセージが出てきた場合、どうすれば良いんでしょうか?
zyxel command injectionとは?CVE-2023-28771の脅威・攻撃?
「Zyxel Command Injection CVE-2023-28771からの攻撃を遮断しました。」とはZyxelルーターの脆弱性を狙った攻撃を受けているのを、ノートンが防いでますよという通知。
ルータなしで脆弱性のあるOSを繋ぐとこうなります
セキュリティを考えると以下が重要です
1 ルータを使ってポートを塞ぐ
2 ルータのアップデートをする
3 パソコンのファイヤウォールを使う
4 パソコンのセキュリティアップデートをする
5 マルウェアサイト遮断アプリを使う
6 ウイルス検知アプリ(セキュリティソフト)を使う
(重要度が高い項目が上で記述)
Zyxel のファームウェアを ZLD V5.30 以降にアップグレードしましょう。
まとめ:zyxel command injectionとは?CVE-2023-28771?
攻撃元IPアドレスとして報告されている 109.207.200.44 は、ウクライナのIPで、一部のIPアドレスブラックリストにも「VPNに対する不正接続を試みるIP」として載ってます。
日本の一般家庭の家庭内ネットワークには、通常は外部(インターネット)から直接入ってくる事はできないようになっています。
しかし、VPN等何らかの形で「穴」が空いている場合は、その限りではありません。
例えば、ルーターのVPN機能を使っている、あるいは宅内NASのデータを外出先から参照できるようにしている等、宅内ネットワーク環境に何かしらの方法でインターネットから接続できるようにはしていないでしょうか?
※ポートチェックテストを行ったとの事ですが、5つしか選択が無かったという事は、おそらくは 22(SSH), 80(HTTP), 443(HTTPS) 辺りの主要portしかチェックされていないと思いますので、ほとんど参考になりません。
Zyxel社の製品を使ってないなら、「おそらくは」大きな問題ではないとは思うのですが、109.207.200.44 というインターネット側からの攻撃を、宅内ネットワーク上のパソコンにインストールしたノートンが検知できているのは、(誤検知の可能性もありますが)少し心配した方が良いと思います。
念の為、ルーター等の通信機器のファームウェアが最新になっているかを確認した上で、ダメ元で以下のサービスで、脆弱性チェックを行ってみてください。