Zyxel, bir çok güvenlik duvarı, AP ve AP denetleyici ürünlerini etkileyen birden çok güvenlik açığı için bilgilendirme yayınladı. Güvenlik açıkları kritik olarak derecelendirilmemiş olsa da, kendi başlarına hala önemli ve istismar zincirlerinin bir parçası olarak saldırganlar tarafından kötüye kullanılabilir.
Zafiyetler aşağıdaki gibi:
- CVE-2022-0734: Medium severity (CVSS v3.1 – 5.8) cross-site scripting vulnerability in the CGI component, allowing attackers to use a data-stealing script to snatch cookies and session tokens stored in the user’s browser.
- CVE-2022-26531: Medium severity (CVSS v3.1 – 6.1) improper validation flaw in some CLI commands, allowing a local authenticated attacker to cause a buffer overflow or system crash.
- CVE-2022-26532: High severity (CVSS v3.1 – 7.8) command injection flaw in some CLI commands, allowing a local authenticated attacker to execute arbitrary OS commands.
- CVE-2022-0910: Medium severity (CVSS v3.1 – 6.5) authentication bypass vulnerability in the CGI component, allowing an attacker to downgrade from two-factor authentication to one-factor authentication via an IPsec VPN client.
Yukarıdaki güvenlik açıkları USG/ZyWALL, USG FLEX, ATP, VPN, NSG güvenlik duvarlarını, NXC2500 ve NXC5500 AP denetleyicilerini ve NAP, NWA, WAC ve WAX serisi modelleri de dahil olmak üzere bir dizi Erişim Noktası ürününü etkiliyor.
Zyxel, etkilenen modellerin çoğu için sorunları gideren güvenlik güncellemelerini yayınladı. Güvenlik duvarları için USG/ZyWALL, firmware versiyon 4.72, USG FLEX, ATP ve VPN’nin ZLD sürüm 5.30’a ve NSG v1.33 yamaları yayınlandı. Bu güvenlik açıkları kritik olmasa da, ağ yöneticilerinin cihazlarını mümkün olan en kısa sürede yükseltmeleri şiddetle tavsiye ediliyor.
Kaynak: bleepingcomputer.com