Zyxel a pris des mesures pour r\u00e9soudre une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 critique affectant les pare-feu Zyxel qui permet \u00e0 des attaquants non authentifi\u00e9s et distants d’obtenir l’ex\u00e9cution de code arbitraire.<\/p>\n
“Une vuln\u00e9rabilit\u00e9 d’injection de commande dans le programme CGI de certaines versions de pare-feu pourrait permettre \u00e0 un attaquant de modifier des fichiers sp\u00e9cifiques, puis d’ex\u00e9cuter certaines commandes du syst\u00e8me d’exploitation sur un appareil vuln\u00e9rable”, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. mentionn\u00e9<\/a> dans un avis publi\u00e9 jeudi.<\/p>\n La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Rapid7, qui d\u00e9couvert<\/a> et a signal\u00e9 la faille le 13 avril 2022, a d\u00e9clar\u00e9 que la faiblesse pourrait permettre \u00e0 un adversaire distant non authentifi\u00e9 d’ex\u00e9cuter du code en tant qu’utilisateur “personne” sur les appareils concern\u00e9s.<\/p>\n Suivi comme CVE-2022-30525<\/a> (score CVSS : 9,8), la faille impacte les produits suivants, avec des correctifs sortis en version ZLD V5.30 –<\/p>\n Rapid 7 a not\u00e9 qu’il y a au moins 16 213 appareils Zyxel vuln\u00e9rables expos\u00e9s \u00e0 Internet, ce qui en fait un vecteur d’attaque lucratif pour les acteurs de la menace pour organiser des tentatives d’exploitation potentielles.<\/p>\n La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a \u00e9galement soulign\u00e9 que Zyxel avait publi\u00e9 en silence des correctifs pour r\u00e9soudre le probl\u00e8me le 28 avril 2022 sans publier de vuln\u00e9rabilit\u00e9s et d’expositions communes associ\u00e9es (CVE<\/a>) identifiant ou un avis de s\u00e9curit\u00e9. Zyxel, dans son alerte, a imput\u00e9 cela \u00e0 une “mauvaise communication lors du processus de coordination de la divulgation”.<\/p>\n “La correction silencieuse des vuln\u00e9rabilit\u00e9s a tendance \u00e0 n’aider que les attaquants actifs et laisse les d\u00e9fenseurs dans l’ignorance du v\u00e9ritable risque de probl\u00e8mes nouvellement d\u00e9couverts”, a d\u00e9clar\u00e9 Jake Baines, chercheur \u00e0 Rapid7.<\/p>\n L’avis intervient alors que Zyxel a r\u00e9solu trois probl\u00e8mes diff\u00e9rents, y compris une injection de commande (CVE-2022-26413<\/a>), un d\u00e9bordement de buffer (CVE-2022-26414<\/a>) et une \u00e9l\u00e9vation locale des privil\u00e8ges (CVE-2022-0556<\/a>) d\u00e9faut, dans son routeur sans fil VMG3312-T20A et configurateur AP qui pourrait conduire \u00e0 l’ex\u00e9cution de code arbitraire.<\/p>\n <\/p>\n<\/div>\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/1652430259_349_Zyxel-publie-un-correctif-pour-la-vulnerabilite-critique-dinjection-de.jpg\")
<\/div>\n\n
![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/1652430260_211_Zyxel-publie-un-correctif-pour-la-vulnerabilite-critique-dinjection-de.jpg\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\")
<\/a><\/div>\n