Zyxel piyasaya çıktı yamalar güvenlik duvarını, AP Denetleyicisini ve AP ürünlerini etkileyen dört güvenlik kusurunu ele almak ve isteğe bağlı işletim sistemi komutlarını yürütmek ve belirli bilgileri çalmak.
Güvenlik açıklarının listesi aşağıdaki gibidir:
- CVE-2022-0734 – Bazı güvenlik duvarı sürümlerinde, kötü amaçlı bir komut dosyası aracılığıyla, çerezler veya oturum belirteçleri gibi kullanıcının tarayıcısında depolanan bilgilere erişmek için kullanılabilecek bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı.
- CVE-2022-26531 – Güvenlik duvarı, AP denetleyicisi ve AP cihazlarının bazı sürümleri için komut satırı arabirimi (CLI) komutlarında, sistem çökmesine neden olmak için kullanılabilecek çeşitli giriş doğrulama kusurları.
- CVE-2022-26532 – Bir komut ekleme güvenlik açığı “paket izleme” Rasgele işletim sistemi komutlarının yürütülmesine yol açabilecek bazı güvenlik duvarı, AP denetleyicisi ve AP cihazları sürümleri için CLI komutu.
- CVE-2022-0910 – Bir saldırganın bir IPsec VPN istemcisi aracılığıyla iki faktörlü kimlik doğrulamadan tek faktörlü kimlik doğrulamaya geçmesine izin verebilecek belirli güvenlik duvarı sürümlerini etkileyen bir kimlik doğrulama atlama güvenlik açığı.
Zyxel, güvenlik duvarları ve AP cihazları için yazılım yamaları yayınlamış olsa da, CVE-2022-26531 ve CVE-2022-26532’den etkilenen AP denetleyicileri için düzeltme yalnızca ilgili yerel Zyxel destek ekipleriyle iletişime geçilerek edinilebilir.
Geliştirme, Zyxel güvenlik duvarlarının belirli sürümlerinde (CVE-2022-30525, CVSS puanı: 9.8) kritik bir komut enjeksiyon kusuru olarak ortaya çıkıyor ve ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın hatayı Bilinen Sömürülen Güvenlik Açıklarına eklemesine neden oldu. Katalog.
