Zyxel, üreticinin güvenlik duvarlarında ve erişim noktalarında bazıları kritik olan güvenlik açıkları konusunda uyardığı güvenlik raporları yayınladı. Güvenlik açıklarını kapatmak için güncellenmiş yazılım mevcuttur. Yöneticiler bunları hızlı bir şekilde yüklemelidir.
Zyxel Salı günü toplam üç güvenlik uyarısı yayınladı. CVE girişleriyle birlikte, biri kritik risk, altısı yüksek, biri orta ve biri düşük olarak sınıflandırılan dokuz güvenlik açığını kapsarlar.
Kritik boşluklu Zyxel güvenlik duvarı
Kritik güvenlik açığı, kimliği doğrulanmamış uzak saldırganların savunmasız bir cihaza kötü amaçlı paketler göndererek temel işletim sisteminde komutlar yürütmesine olanak tanır. Bunun nedeni, hata mesajlarının kötü işlenmesidir (CVE-2023-28771, CVSS 9.8risk”eleştirmen“). Zyxel ATP, USG Flex ve ZLD 4.60 ila 5.35’e sahip VPN etkilenir; 5.36 sürümü boşluğu doldurur. Ayrıca, ZyWALL/USG için hata düzeltmeli ZLD 4.73 Yama 1 üretici yazılımı mevcuttur.
İkinci uyarı, Zyxel’in güvenlik duvarlarındaki ve erişim noktalarındaki altı güvenlik açığını bir araya getiriyor. Bunlardan dördü, kayıtlı yöneticilerin veya bazen kullanıcıların hizmet reddi saldırıları gerçekleştirmesine veya işletim sisteminde izinsiz komut yürütmesine izin veren cihazlardaki CGI programlarıyla ilgilidir. BT yöneticileri internetten erişime izin verdiyse, kimliği doğrulanmamış saldırganlar da çekirdek dökümlerini tetikleyebilir. Güvenlik açıklarının çoğu yüksek riskli kabul edilir (CVE-2023-22913, CVSS 8.1risk”yüksek“; CVE-2023-22914, CVSS 7.2, yüksek; CVE-2023-22915, CVSS 7.5, yüksek; CVE-2023-22916, CVSS 8.1, yüksek; CVE-2023-22917, CVSS 7.5, yüksek; CVE-2023-22918, CVSS 6.5, yarım). Zyxel ATP, USG Flex, URG Flex 50(W), USG 20(W)-VPN için ZLD sürüm 5.36’nın yanı sıra güvenlik bildiriminde listelenen çeşitli erişim noktaları için düzeltmeler ve üretici yazılımı güncellemeleri de bu boşlukları doldurur.
En son hata raporunda Zyxel, ZLG 5.36’nın Zyxel ATP, USG Flex, USG Flex 50(W), USG 20(W)-VPN ve VPN mühürleri için güncellediği güvenlik duvarlarındaki iki güvenlik açığını belirtiyor. Bir güvenlik açığı, ağdan oturum açmış saldırganların güvenlik duvarlarının işletim sisteminde komut satırı komutları yürütebildiği kritik durumu kıl payı kaçırır (ancak, WAN erişimi önceden etkinleştirilmiş olmalıdır) (CVE -2023-27991, CVSS 8.8, yüksek). Ayrıca, yazılımın önceki sürümlerinde (CVE-2023-27990, CVSS) bir siteler arası komut dosyası çalıştırma güvenlik açığı bulundu. 3.5, Bas).
Daha fazla ayrıntı içeren güvenlik bildirimlerine buradan ulaşabilirsiniz:
BT yöneticileri, olası saldırı yüzeyini azaltmak için mevcut güncellemeleri hızlı bir şekilde indirmeli ve uygulamalıdır. En son, Zyxel geçen sonbaharda NAS sistemlerinde güvenlik açıkları bildirdi. Saldırganlar, kritik güvenlik açıklarından cihazlara kötü amaçlı kod sokmuş olabilir.
(dmk)
Haberin Sonu
Zyxel Salı günü toplam üç güvenlik uyarısı yayınladı. CVE girişleriyle birlikte, biri kritik risk, altısı yüksek, biri orta ve biri düşük olarak sınıflandırılan dokuz güvenlik açığını kapsarlar.
Kritik boşluklu Zyxel güvenlik duvarı
Kritik güvenlik açığı, kimliği doğrulanmamış uzak saldırganların savunmasız bir cihaza kötü amaçlı paketler göndererek temel işletim sisteminde komutlar yürütmesine olanak tanır. Bunun nedeni, hata mesajlarının kötü işlenmesidir (CVE-2023-28771, CVSS 9.8risk”eleştirmen“). Zyxel ATP, USG Flex ve ZLD 4.60 ila 5.35’e sahip VPN etkilenir; 5.36 sürümü boşluğu doldurur. Ayrıca, ZyWALL/USG için hata düzeltmeli ZLD 4.73 Yama 1 üretici yazılımı mevcuttur.
İkinci uyarı, Zyxel’in güvenlik duvarlarındaki ve erişim noktalarındaki altı güvenlik açığını bir araya getiriyor. Bunlardan dördü, kayıtlı yöneticilerin veya bazen kullanıcıların hizmet reddi saldırıları gerçekleştirmesine veya işletim sisteminde izinsiz komut yürütmesine izin veren cihazlardaki CGI programlarıyla ilgilidir. BT yöneticileri internetten erişime izin verdiyse, kimliği doğrulanmamış saldırganlar da çekirdek dökümlerini tetikleyebilir. Güvenlik açıklarının çoğu yüksek riskli kabul edilir (CVE-2023-22913, CVSS 8.1risk”yüksek“; CVE-2023-22914, CVSS 7.2, yüksek; CVE-2023-22915, CVSS 7.5, yüksek; CVE-2023-22916, CVSS 8.1, yüksek; CVE-2023-22917, CVSS 7.5, yüksek; CVE-2023-22918, CVSS 6.5, yarım). Zyxel ATP, USG Flex, URG Flex 50(W), USG 20(W)-VPN için ZLD sürüm 5.36’nın yanı sıra güvenlik bildiriminde listelenen çeşitli erişim noktaları için düzeltmeler ve üretici yazılımı güncellemeleri de bu boşlukları doldurur.
En son hata raporunda Zyxel, ZLG 5.36’nın Zyxel ATP, USG Flex, USG Flex 50(W), USG 20(W)-VPN ve VPN mühürleri için güncellediği güvenlik duvarlarındaki iki güvenlik açığını belirtiyor. Bir güvenlik açığı, ağdan oturum açmış saldırganların güvenlik duvarlarının işletim sisteminde komut satırı komutları yürütebildiği kritik durumu kıl payı kaçırır (ancak, WAN erişimi önceden etkinleştirilmiş olmalıdır) (CVE -2023-27991, CVSS 8.8, yüksek). Ayrıca, yazılımın önceki sürümlerinde (CVE-2023-27990, CVSS) bir siteler arası komut dosyası çalıştırma güvenlik açığı bulundu. 3.5, Bas).
Daha fazla ayrıntı içeren güvenlik bildirimlerine buradan ulaşabilirsiniz:
BT yöneticileri, olası saldırı yüzeyini azaltmak için mevcut güncellemeleri hızlı bir şekilde indirmeli ve uygulamalıdır. En son, Zyxel geçen sonbaharda NAS sistemlerinde güvenlik açıkları bildirdi. Saldırganlar, kritik güvenlik açıklarından cihazlara kötü amaçlı kod sokmuş olabilir.
(dmk)
Haberin Sonu