Ağ ekipmanı üreticisi Zyxel, güvenlik duvarı cihazlarında, etkilenen sistemlerde uzaktan kod yürütülmesini sağlamak için kullanılabilecek kritik bir güvenlik açığı için yamalar yayınladı.
Sorun, şu şekilde izlenir: CVE-2023-28771, CVSS puanlama sisteminde 9,8 olarak derecelendirilmiştir. TRAPA Security’den araştırmacılar, kusuru bildirdikleri için kredilendirildi.
Zyxel, “Bazı güvenlik duvarı sürümlerinde yanlış hata mesajı işleme, kimliği doğrulanmamış bir saldırganın, etkilenen bir cihaza hazırlanmış paketler göndererek bazı işletim sistemi komutlarını uzaktan yürütmesine izin verebilir.” söz konusu 25 Nisan 2023 tarihli bir danışma belgesinde.
Kusurdan etkilenen ürünler:
- ATP (ZLD V4.60 – V5.35 sürümleri, ZLD V5.36’da yamalı)
- USG FLEX (ZLD V4.60 – V5.35 sürümleri, ZLD V5.36’da yamalı)
- VPN (ZLD V4.60 – V5.35 sürümleri, ZLD V5.36’da yamalı) ve
- ZyWALL/USG (ZLD V4.60 – V4.73 sürümleri, ZLD V4.73 Yama 1’de yamalı)
Zyxel’de ayrıca ele alinan belirli güvenlik duvarı sürümlerini etkileyen yüksek önem düzeyine sahip bir kimlik doğrulama sonrası komut ekleme güvenlik açığı (CVE-2023-27991CVSS puanı: 8.8), kimliği doğrulanmış bir saldırganın bazı işletim sistemi komutlarını uzaktan yürütmesine izin verebilir.
ATP, USG FLEX, USG FLEX 50(W) / USG20(W)-VPN ve VPN cihazlarını etkileyen eksiklik ZLD V5.36’da giderilmiştir.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Son olarak şirket ayrıca gönderilen düzeltmeler birkaç güvenlik duvarını ve erişim noktası (AP) cihazını (CVE-2023-22913’ten CVE-2023-22918’e) etkileyen, kod yürütülmesine ve hizmet reddi (DoS) durumuna neden olabilecek beş yüksek önem dereceli kusur için.
Rus siber güvenlik şirketi Positive Technologies’den Nikita Abramov, sorunları bildirdiği için kredilendirildi. Abramov, bu yılın başlarında da keşfetti CPE, fiber ONT’ler ve WiFi genişleticilerde dört komut enjeksiyonu ve arabellek taşması güvenlik açığı.
Kusurların en şiddetlisi, CVE-2022-43389 (CVSS puanı: 9.8), 5G NR/4G LTE CPE cihazlarını etkileyen bir arabellek taşması güvenlik açığı.
Abramov, “Kullanılması için kimlik doğrulama gerektirmedi ve cihazda keyfi kod yürütülmesine yol açtı.” açıkladı o zaman. “Sonuç olarak, bir saldırgan cihaza uzaktan erişim sağlayabilir ve çalışmasını tamamen kontrol edebilir.”