alexzir
29.05.2022, 03:53
Компания Zyxel предупредила (https://www.zyxel.com/support/multiple-vulnerabilities-of-firewalls-AP-controllers-and-APs.shtml) администраторов о многочисленных уязвимостях, затрагивающих ряд брандмауэров, точек доступа и контроллеров точек доступа. Хотя среди этих багов нет критических, они по-прежнему могут представлять угрозу, особенно если будут использованы злоумышленниками в составе цепочки эксплоитов.
Список исправленных компанией уязвимостей выглядит следующим образом:
CVE-2022-0734 (https://nvd.nist.gov/vuln/detail/CVE-2022-0734)— XSS-уязвимость в некоторых версиях брандмауэра, которую вредоносный скрипт может использовать для доступа к информации, хранящейся в браузере пользователя, включая файлы cookie и токены сеанса;
CVE-2022-26531 (https://nvd.nist.gov/vuln/detail/CVE-2022-26531)— ряд недостатков проверки вводимых данных в CLI-командах, актуальный для некоторых версий брандмауэра, контроллеров точек доступа и точек доступа. Баги могут быть использованы локальным атакующим для переполнения буфера и сбоя системы;
CVE-2022-26532 (https://nvd.nist.gov/vuln/detail/CVE-2022-26532)— уязвимость, связанная с инжектами в команду CLI packet-trace в некоторых версиях брандмауэра, контроллеров точек доступа и точек доступа, что может привести к выполнению произвольных команд ОС;
CVE-2022-0910 (https://nvd.nist.gov/vuln/detail/CVE-2022-0910)— уязвимость обхода аутентификации, влияющая на некоторые версии брандмауэра и позволяющая злоумышленнику осуществить даунгрейд с двухфакторной аутентификации до однофакторной через VPN-клиент IPsec.
Эти уязвимости затрагивают брандмауэры USG/ZyWALL, USG FLEX, ATP, VPN, NSG, контроллеры точек доступа NXC2500 и NXC5500, а также ряд точек доступа, включая модели серий NAP, NWA, WAC и WAX.
Инженеры Zyxel представили обновления для большинства затронутых моделей, но патчи для проблем CVE-2022-26531 и CVE-2022-26532 в контроллерах точек доступа можно поучить только обратившись в местный центр поддержки Zyxel. Что касается брандмауэров, для USG/ZyWALL проблемы были устранены с релизом прошивки версии 4.72, USG FLEX, ATP и VPN должны быть обновлены до ZLD версии 5.30, а продукты NSG получили исправление в версии 1.33 patch 5.
Источник: https://xakep.ru/2022/05/27/zyxel-flaws/
Список исправленных компанией уязвимостей выглядит следующим образом:
CVE-2022-0734 (https://nvd.nist.gov/vuln/detail/CVE-2022-0734)— XSS-уязвимость в некоторых версиях брандмауэра, которую вредоносный скрипт может использовать для доступа к информации, хранящейся в браузере пользователя, включая файлы cookie и токены сеанса;
CVE-2022-26531 (https://nvd.nist.gov/vuln/detail/CVE-2022-26531)— ряд недостатков проверки вводимых данных в CLI-командах, актуальный для некоторых версий брандмауэра, контроллеров точек доступа и точек доступа. Баги могут быть использованы локальным атакующим для переполнения буфера и сбоя системы;
CVE-2022-26532 (https://nvd.nist.gov/vuln/detail/CVE-2022-26532)— уязвимость, связанная с инжектами в команду CLI packet-trace в некоторых версиях брандмауэра, контроллеров точек доступа и точек доступа, что может привести к выполнению произвольных команд ОС;
CVE-2022-0910 (https://nvd.nist.gov/vuln/detail/CVE-2022-0910)— уязвимость обхода аутентификации, влияющая на некоторые версии брандмауэра и позволяющая злоумышленнику осуществить даунгрейд с двухфакторной аутентификации до однофакторной через VPN-клиент IPsec.
Эти уязвимости затрагивают брандмауэры USG/ZyWALL, USG FLEX, ATP, VPN, NSG, контроллеры точек доступа NXC2500 и NXC5500, а также ряд точек доступа, включая модели серий NAP, NWA, WAC и WAX.
Инженеры Zyxel представили обновления для большинства затронутых моделей, но патчи для проблем CVE-2022-26531 и CVE-2022-26532 в контроллерах точек доступа можно поучить только обратившись в местный центр поддержки Zyxel. Что касается брандмауэров, для USG/ZyWALL проблемы были устранены с релизом прошивки версии 4.72, USG FLEX, ATP и VPN должны быть обновлены до ZLD версии 5.30, а продукты NSG получили исправление в версии 1.33 patch 5.
Источник: https://xakep.ru/2022/05/27/zyxel-flaws/