Ağ ekipmanı üreticisi Zyxel, bilgisayar korsanlarının savunmasız cihazlara yönetici düzeyinde erişim sağlayabilecek bir güvenlik açığından yararlanmalarını önlemek için kurumsal düzeydeki VPN ve güvenlik duvarı ürünlerinin birçoğuna yama uyguladı.
CVE-2022-0342 olarak izlenen kritik önemdeki güvenlik açığı, şirketin USG/Zy Wall, USG Flex, ATP VPN ve NSG (Nebula Security Gateway) serisinden ticari VPN ve güvenlik duvarı ürünlerini etkiler.
Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) güvenlik açığına henüz bir güvenlik derecelendirmesi sunmamış olsa da, Zyxel ona maksimum 10 üzerinden 9,8 puan verdi.
Yakın zamanda yayınlanan bir güvenlik danışmanlığışirket, birkaç ürününün donanım yazılımında bulunan kimlik doğrulama atlama güvenlik açığının doğası hakkında daha fazla ayrıntı verdi ve şunları söyledi:
“Bazı güvenlik duvarı sürümlerinin CGI programında uygun bir erişim kontrol mekanizmasının olmamasından kaynaklanan bir kimlik doğrulama atlama güvenlik açığı bulundu. Kusur, bir saldırganın kimlik doğrulamasını atlamasına ve cihazın yönetici erişimini almasına izin verebilir.”
Güvenlik açığı bulunan güvenlik duvarı ve VPN ürünleri
Zyxel’e göre, kritik önemdeki güvenlik açığı, USG/ZyWALL serisi sürüm 4.20-4.70, USG FLEX serisi sürüm 4.50-5.20, APT serisi sürüm 4.32-5.20, VPN serisi sürüm 4.30-5.20 ve NSG serisi sürümlerinde bulunur. V1.20-V.133 Yama 4.
Şirket, gelecek ay standart bir yama yayınlamayı planlasa da, NSG serisi ürünleri için şimdilik bir düzeltme yayınladı.
Kritik önemdeki güvenlik açığı, Tecnical Service Srl’den Alessandro Sgreccia ve Innotec Security’den Roberto Garcia H ve Victor Garcia R tarafından keşfedildi.
Şu anda bu güvenlik açığından yararlanıldığına dair halka açık bir rapor bulunmamakla birlikte, Zyxel müşterilerine “optimum koruma için” en son ürün yazılımı güncellemelerini yüklemelerini tavsiye ediyor.
Zyxel’in donanım cihazları, ağ erişimini kötü amaçlı yazılımlara, kimlik avına ve diğer kötü niyetli etkinliklere karşı koruma sağlayan güvenlik bileşenleriyle birleştirmek için genellikle küçük ve orta ölçekli ortamlarda kullanıldığından, kuruluşlar etkilenen tüm donanımları mümkün olan en kısa sürede güncellemelidir.
Üzerinden BleeBilgisayar