Zyxel a publié correctifs pour corriger quatre failles de sécurité affectant son pare-feu, son contrôleur AP et ses produits AP pour exécuter des commandes arbitraires du système d’exploitation et voler des informations sélectionnées.
La liste des vulnérabilités de sécurité est la suivante –
- CVE-2022-0734 – Une vulnérabilité de type cross-site scripting (XSS) dans certaines versions de pare-feu qui pourrait être exploitée pour accéder à des informations stockées dans le navigateur de l’utilisateur, telles que des cookies ou des jetons de session, via un script malveillant.
- CVE-2022-26531 – Plusieurs failles de validation des entrées dans les commandes de l’interface de ligne de commande (CLI) pour certaines versions du pare-feu, du contrôleur AP et des périphériques AP qui pourraient être exploitées pour provoquer un plantage du système.
- CVE-2022-26532 – Une vulnérabilité d’injection de commande dans le « suivi de paquet » Commande CLI pour certaines versions de pare-feu, de contrôleur AP et de périphériques AP pouvant entraîner l’exécution de commandes arbitraires du système d’exploitation.
- CVE-2022-0910 – Une vulnérabilité de contournement d’authentification affectant certaines versions de pare-feu qui pourrait permettre à un attaquant de passer d’une authentification à deux facteurs à une authentification à un facteur via un client VPN IPsec.
Bien que Zyxel ait publié des correctifs logiciels pour les pare-feu et les périphériques AP, le correctif pour les contrôleurs AP affectés par CVE-2022-26531 et CVE-2022-26532 ne peut être obtenu qu’en contactant les équipes de support Zyxel locales respectives.
Le développement intervient alors qu’une faille critique d’injection de commandes dans certaines versions des pare-feu Zyxel (CVE-2022-30525, score CVSS : 9,8) a fait l’objet d’une exploitation active, incitant la US Cybersecurity and Infrastructure Security Agency à ajouter le bogue à ses vulnérabilités exploitées connues. Catalogue.