Af Eskil Sørensen, 01/05/23
Producenten af netværksudstyr Zyxel har udgivet patches til en kritisk sikkerhedsfejl i sine firewall-enheder. Fejlen er kritisk, da den kan udnyttes til at opnå fjernafvikling af kode på berørte systemer. Dvs. en remote code execution-sårbarhed.
Det skriver The Hacker News m.fl.
Sårbarheden har id’et CVE-2023-28771 og er blevet vurderet til 9,8 på CVSS-scoringssystemet. Zyxel skriver i forbindelse med udsendelse af opdateringerne, at sårbarheden skyldes en ukorrekt håndtering af fejlmeddelelser i nogle firewallversioner. Det kan give en uautoriseret hacker mulighed for at afvikle OS-kommandoer eksternt ved at sende udformede pakker til en berørt enhed
Produkter berørt af fejlen er:
- ATP (versioner ZLD V4.60 til V5.35, patchet i ZLD V5.36)
- USG FLEX (versioner ZLD V4.60 til V5.35, patchet i ZLD V5.36)
- VPN (versioner ZLD V4.60 til V5.35, patchet i ZLD V5.36), og
- ZyWALL/USG (versioner ZLD V4.60 til V4.73, patchet i ZLD V4.73 Patch 1)
Zyxel har også rettet en ’post-authentication command injection’-sårbarhed. Denne påvirker udvalgte firewallversioner (CVE-2023-27991, CVSS-score: 8,8) og gør det muligt for en godkendt angriber at udføre nogle OS-kommandoer eksternt. Denne sårbarhed påvirker ATP, USG FLEX, USG FLEX 50(W) / USG20(W)-VPN og VPN-enheder.
Derudover er der også udsendt rettelser til fem alvorlige og mellemalvorlige mellemsvær fejl, der påvirker adskillige firewalls og adgangspunkter (AP)-enheder, som kunne resultere i kodeafvikling og forårsage en denial-of-service (DoS)-tilstand. Disse har id’erne fra fra CVE-2023-22913 til CVE-2023-22918.
Links:
https://thehackernews.com/2023/04/zyxel-firewall-devices-vulnerable-to.html
https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-xss-vulnerability-and-post-authentication-command-injection-vulnerability-in-firewalls
https://securityaffairs.com/145416/hacking/zyxel-firewall-cve-2023-28771-rce.html
https://www.securityweek.com/critical-vulnerability-in-zyxel-firewalls-leads-to-command-execution/