Af Eskil Sørensen, 26/05/23
Sårbarheder i firewall- og VPN-produkter.
Bedst som proof-of-concept er offentliggjort på ’gamle’ sårbarheder i Zyxel-produkter, har Zyxel udsendt nye softwareopdateringer for at rette to kritiske sikkerhedsfejl, der påvirker udvalgte firewall- og VPN-produkter. Udnyttelse af fejlene kan misbruges af fjernangribere til at opnå rettigheder til at afvikle kode. Det skriver The Hacker News.
Begge fejl, som har fået id’erne CVE-2023-33009 og CVE-2023-33010, er ’buffer overflow’-sårbarheder, der har fået scoren 9,8 ud af 10 på CVSS-skalaen.
Påvirkede produkter og versioner er:
- ATP (versioner ZLD V4.32 til V5.36 Patch 1, patchet i ZLD V5.36 Patch 2)
- USG FLEX (versioner ZLD V4.50 til V5.36 Patch 1, patchet i ZLD V5.36 Patch 2)
- USG FLEX50(W) / USG20(W)-VPN (versioner ZLD V4.25 til V5.36 Patch 1, patchet i ZLD V5.36 Patch 2)
- VPN (versioner ZLD V4.30 til V5.36 Patch 1, patchet i ZLD V5.36 Patch 2), og
- ZyWALL/USG (versioner ZLD V4.25 til V4.73 Patch 1, patchet i ZLD V4.73 Patch 2)
Administratorer opfordres til at implementere opdateringerne.
Links:
https://thehackernews.com/2023/05/zyxel-issues-critical-security-patches.html