Zyxel publie des correctifs de sécurité critiques pour les produits de pare-feu et de VPN

teknomers


25 mai 2023Ravie LakshmananSécurité réseau / Vulnérabilité

Zyxel a publié des mises à jour logicielles pour corriger deux failles de sécurité critiques affectant certains produits de pare-feu et VPN qui pourraient être exploités par des attaquants distants pour exécuter du code.

Les deux défauts – CVE-2023-33009 et CVE-2023-33010 – sont vulnérabilités de dépassement de tampon et sont notés 9,8 sur 10 sur le système de notation CVSS.

Une brève description des deux problèmes est ci-dessous –

  • CVE-2023-33009 – Une vulnérabilité de débordement de la mémoire tampon dans la fonction de notification qui pourrait permettre à un attaquant non authentifié de provoquer une condition de déni de service (DoS) et l’exécution de code à distance.
  • CVE-2023-33010 – Une vulnérabilité de dépassement de mémoire tampon dans la fonction de traitement d’ID qui pourrait permettre à un attaquant non authentifié de provoquer une condition de déni de service (DoS) et l’exécution de code à distance.

Les appareils suivants sont concernés –

  • ATP (versions ZLD V4.32 à V5.36 Patch 1, patché dans ZLD V5.36 Patch 2)
  • USG FLEX (versions ZLD V4.50 à V5.36 Patch 1, corrigées dans ZLD V5.36 Patch 2)
  • USG FLEX50(W) / USG20(W)-VPN (versions ZLD V4.25 à V5.36 Patch 1, corrigées dans ZLD V5.36 Patch 2)
  • VPN (versions ZLD V4.30 à V5.36 Patch 1, patché dans ZLD V5.36 Patch 2), et
  • ZyWALL/USG (versions ZLD V4.25 à V4.73 Patch 1, patché dans ZLD V4.73 Patch 2)

Les chercheurs en sécurité de TRAPA Security et STAR Labs SG ont été crédités d’avoir découvert et signalé les failles.

WEBINAIRE À VENIR

Zero Trust + Deception : apprenez à déjouer les attaquants !

Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !

Sauvez ma place !

L’avis intervient moins d’un mois après que Zyxel a envoyé des correctifs pour une autre faille de sécurité critique dans ses dispositifs de pare-feu qui pourrait être exploitée pour obtenir l’exécution de code à distance sur les systèmes concernés.

Le problème, suivi comme CVE-2023-28771 (score CVSS : 9,8), a également été crédité à TRAPA Security, le fabricant d’équipements de réseau lui reprochant une mauvaise gestion des messages d’erreur. Il est depuis tombé sous exploitation active par des acteurs menaçants associés au botnet Mirai.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.





ttn-fr-57