Zyxel, a hálózati hardvergyártó, figyelmeztetett, hogy közel tucatnyi sérülékenység található a termékeik széles skálájában. Ha nem javítják ki ezeket, némelyikük lehetőséget adhat a készülékek teljes átvevődésére, melyek nagy hálózatokba való bejutási pontként célozhatók meg.
A legkomolyabb sérülékenység, amelyet CVE-2024-7261-ként követnek nyomon, lehetővé teszi, hogy egy hitelesítetlen támadó OS parancsokat hajtson végre a sérülékeny eszközre egy manipulált süti küldésével. A Zyxel figyelmeztetése szerint ez a hiba a 9.8 / 10 súlyossági besorolást kapta, és a sérülékeny hozzáférési pontok és biztonsági routerek CGI programjában található “host” paraméter különleges elemeinek helytelen semlegesítéséből ered. Közel 30 Zyxel eszközt érint ez a probléma. A Zyxel sürgeti ügyfeleit, hogy haladéktalanul javítsák ki ezeket a hibákat.
További sérülékenységek
A hardvergyártó hét további sérülékenységet is figyelmeztetett, amelyek a tűzfal sorozatokat érintik, beleértve az ATP, USG-FLEX, és USG FLEX 50(W)/USG20(W)-VPN modelleket. A sérülékenységek súlyossági besorolása 4.9 és 8.1 között mozog. Az alábbiakban részletezzük a sérülékenységeket:
- CVE-2024-6343: A CGI programban található puffer túlfolyás, amely lehetővé teszi egy hitelesített támadó számára, hogy szolgáltatásmegtagadást okozzon manipulált HTTP kérések küldésével.
- CVE-2024-7203: Egy hitelesítés utáni parancsinjektálási sérülékenység, amely lehetővé teszi, hogy egy hitelesített támadó OS parancsokat hajtson végre manipulált CLI parancsok végrehajtásával.
- CVE-2024-42057: Parancsinjektálási sérülékenység az IPSec VPN funkcióban, amely lehetővé teszi egy hitelesítetlen támadó számára, hogy OS parancsokat hajtson végre manipulált felhasználónév küldésével.
- CVE-2024-42058: Null pointer dereference sérülékenység egyes tűzfalsorozatokban, amely lehetővé teszi, hogy egy hitelesítetlen támadó szolgáltatásmegtagadást okozzon manipulált csomagok küldésével.
- CVE-2024-42059: Hitelesítés utáni parancsinjektálási sérülékenység, amely lehetővé teszi, hogy egy hitelesített támadó OS parancsokat hajtson végre az érintett eszközön manipulált tömörített nyelvi fájl FTP-n keresztüli feltöltésével.
- CVE-2024-42060: A hitelesítés utáni parancsinjektálási sérülékenység, amely lehetővé teszi, hogy egy hitelesített támadó OS parancsokat hajtson végre manipulált belső felhasználói megállapodás fájl feltöltésével a sérülékeny eszközre.
- CVE-2024-42061: Visszavert cross-site scripting sérülékenység a “dynamic_script.cgi” CGI programban, amely lehetővé teszi, hogy egy támadó megtévessze a felhasználót egy manipulált URL meglátogatására, amely XSS terhelést tartalmaz.
A fennmaradó sérülékenység, a CVE-2024-5412, 7.5 súlyossági besorolással bír, és 50 Zyxel termékmodellben található, beleértve a különböző ügyfélterminálokat, optikai hálózati terminálokat és biztonsági routereket. A sérülékenység a “libclinkc” könyvtár puffer túlfolyásából ered, amely lehetővé teszi egy hitelesítetlen támadó számára, hogy szolgáltatásmegtagadást okozzon manipulált HTTP kérések küldésével.
Az utóbbi években a Zyxel eszközök sérülékenységei gyakran célponttá váltak. A javítások többsége letölthető a figyelmeztetésekben megadott linkeken. Kis számú esetben a javítások a felhőn keresztül érhetők el. Néhány termék javítása csak a vállalat ügyfélszolgálatával való privát kapcsolatfelvétel útján lehetséges.
Érdekes tény: Az AI rendszerek képesek automatikusan észlelni a sérülékenységeket a szoftverekben, így gyorsabb reagálást és hatékonyabb javítást lehetővé téve a potenciális támadások ellen.
Források: Zyxel, CVE Details, Security Advisories