Η Zyxel κυκλοφόρησε ένα νέο security advisory για να προειδοποιήσει τους διαχειριστές σχετικά με διάφορες ευπάθειες που επηρεάζουν προϊόντα, όπως firewalls, AP και AP controller.
Σύμφωνα με την εταιρεία, οι εν λόγω ευπάθειες δεν έχουν κατηγοριοποιηθεί ως κρίσιμες, αλλά εξακολουθούν να είναι επικίνδυνες και μπορούν να χρησιμοποιηθούν από εγκληματίες του κυβερνοχώρου στα πλαίσια επιθέσεων.
Δείτε επίσης: Κρίσιμα σφάλματα στα τείχη προστασίας Zyxel και τα VPN
Η προειδοποίηση της Zyxel είναι σημαντική, δεδομένου ότι μεγάλοι οργανισμοί χρησιμοποιούν προϊόντα της εταιρείας (firewalls κλπ). Επομένως, αν κάποιος εκμεταλλευτεί αυτά τα σφάλματα, θα μπορούσε να δημιουργήσει μεγάλα προβλήματα.
Οι τέσσερις ευπάθειες που αναφέρει Zyxel στο security advisory είναι οι εξής:
CVE-2022-0734: Πρόκειται για μια cross-site scripting ευπάθεια, μέτριας σοβαρότητας (CVSS v3.1 – 5.8) που εντοπίζεται στο CGI component των Zyxel USG/ZyWALL series firmware versions 4.35 με 4.70, USG FLEX series firmware versions 4.50 με 5.20, ATP series firmware versions 4.35 με 5.20 και VPN series firmware versions 4.35 με 5.20. Eπιτρέπει στους επιτιθέμενους να χρησιμοποιούν ένα script κλοπής δεδομένων για να αρπάξουν cookies και session tokens που είναι αποθηκευμένα στο πρόγραμμα περιήγησης του χρήστη.
CVE-2022-26531: Είναι ένα improper validation σφάλμα, μέτριας σοβαρότητας (CVSS v3.1 – 6.1), σε ορισμένες εντολές CLI των Zyxel USG/ZyWALL series firmware versions 4.09 με 4.71, USG FLEX series firmware versions 4.50 με 5.21, ATP series firmware versions 4.32 με 5.21, VPN series firmware versions 4.30 με 5.21, NSG series firmware versions 1.00 με 1.33 Patch 4, NXC2500 firmware version 6.10(AAIG.3) και προηγούμενες εκδόσεις, NAP203 firmware version 6.25(ABFA.7) και προηγούμενες εκδόσεις, NWA50AX firmware version 6.25(ABYW.5) και προηγούμενες εκδόσεις, WAC500 firmware version 6.30(ABVS.2) και προηγούμενες εκδόσεις και WAX510D firmware version 6.30(ABTF.2) και προηγούμενες εκδόσεις. Eπιτρέπει σε έναν τοπικό εξουσιοδοτημένο εισβολέα να προκαλέσει buffer overflow ή να κρασάρει το σύστημα.
CVE-2022-26532: Η συγκεκριμένη ευπάθεια είναι μια ευπάθεια command injection, υψηλής σοβαρότητας (CVSS v3.1 – 7.8), σε ορισμένες εντολές CLI των Zyxel USG/ZyWALL series firmware versions 4.09 με 4.71, USG FLEX series firmware versions 4.50 με 5.21, ATP series firmware versions 4.32 με 5.21, VPN series firmware versions 4.30 με 5.21, NSG series firmware versions 1.00 με 1.33 Patch 4, NXC2500 firmware version 6.10(AAIG.3) και προηγούμενες εκδόσεις, NAP203 firmware version 6.25(ABFA.7) και προηγούμενες εκδόσεις, NWA50AX firmware version 6.25(ABYW.5) και προηγούμενες εκδόσεις, WAC500 firmware version 6.30(ABVS.2) και προηγούμενες εκδόσεις και WAX510D firmware version 6.30(ABTF.2) και προηγούμενες εκδόσεις. Eπιτρέπει σε έναν τοπικό εξουσιοδοτημένο εισβολέα να εκτελεί OS commands.
CVE-2022-0910: Τέλος, η Zyxel αναφέρει μια ευπάθεια παράκαμψης ελέγχου ταυτότητας, μέτριας σοβαρότητας (CVSS v3.1 – 6.5) στο CGI component των Zyxel USG/ZyWALL series firmware versions 4.32 με 4.71, USG FLEX series firmware versions 4.50 με 5.21, ATP series firmware versions 4.32 με 5.21 και VPN series firmware versions 4.32 με 5.21. Eπιτρέπει σε έναν εισβολέα να κάνει αλλαγή από έλεγχο ταυτότητας δύο παραγόντων σε one-factor authentication μέσω ενός IPsec VPN client.
Δείτε επίσης: Ενεργοποιήστε αυτές τις ρυθμίσεις στο iPhone σας και θα είστε ασφαλείς!
Η Zyxel έχει κυκλοφορήσει ενημερώσεις ασφαλείας που αντιμετωπίζουν τα προβλήματα για τα περισσότερα από τα επηρεαζόμενα μοντέλα. Ωστόσο, οι διαχειριστές πρέπει να ζητήσουν μια επείγουσα επιδιόρθωση (hotfix) από τον τοπικό αντιπρόσωπο υπηρεσιών τους για τα AP controllers, καθώς δεν υπάρχει δημόσια διαθέσιμη επιδιόρθωση.
Δείτε επίσης: ERMAC 2.0 Android Trojan: Κλέβει wallet accounts από 467 εφαρμογές
Για τα firewalls, το USG/ZyWALL αντιμετωπίζει τα προβλήματα με την έκδοση firmware 4.72, το USG FLEX, το ATP και το VPN πρέπει να αναβαθμιστούν στην έκδοση ZLD 5.30 και τα προϊόντα NSG λαμβάνουν την επιδιόρθωση μέσω του v1.33 patch 5.
Οι διαχειριστές δικτύου καλούνται να αναβαθμίσουν τις συσκευές τους το συντομότερο δυνατό.
Πηγή: www.bleepingcomputer.com