Zyxel-ը թողարկում է անվտանգության patch-եր՝ Firewall-ի և VPN-ի համար

Zyxel-ը թողարկել է ծրագրային թարմացումներ՝ լուծելու անվտանգության երկու կարևոր խոցելիություններ, որոնք ազդում են firewall-ի և VPN արտադրանքների վրա: Վերջին շրջանում տվյալ խոցելիություններն ակտիվորեն չարաշահվում են հաքերների կողմից:

Բացահայտված խոցելիություններն են՝ CVE-2023-33009 և CVE-2023-33010, որոնք CVSS գնահատման համակարգում գնահատվում են՝ 10-ից 9,8 միավորով:

Խոցելիությունների համառոտ նկարագրությունը՝

• CVE-2023-33009 – Բուֆերային արտահոսքի խոցելիություն, որը հաքերին հնարավորություն է տալիս denial-of-service (DoS) -ի առաջացման և remote code-ի կատարման:
• CVE-2023-33010 – Բուֆերային արտահոսքի խոցելիություն ID-ի մշակման գործառույթում, որը կարող է հաքերին թույլ տալ առաջացնել denial-of-service (DoS) նախապայման և remote code-ի կատարում:

Տուժած սարքերն են՝

• ATP (ZLD V4.32 to V5.36 Patch 1, շտկումը՝ ZLD V5.36 Patch 2-ում)

• USG FLEX (ZLD V4.50 to V5.36 Patch 1, շտկումը՝  ZLD V5.36 Patch 2-ում)

• USG FLEX50(W) / USG20(W)-VPN (ZLD V4.25 to V5.36 Patch 1, շտկումը՝  ZLD V5.36 Patch 2-ում)

• VPN (ZLD V4.30 to V5.36 Patch 1, շտկումը՝ ZLD V5.36 Patch 2-ում), and

• ZyWALL/USG (ZLD V4.25 to V4.73 Patch 1, շտկումը՝ ZLD V4.73 Patch 2-ում)

CVE-2023-28771 (CVSS-ի միավորը՝ 9.8) խոցելիությունը նույնպես վերագրվել է TRAPA Security-ին: Ցանցային սարքավորումներ արտադրող ընկերությունը մեղադրանք է ներկայացրել դրա ոչ պատշաճ մշակման համար: Այդ ժամանակվանից սկսած այն աչքի է ընկել ակտիվ կիրառմամբ և շահագործմամբ, որոնք կապված են Mirai botnet-ի հետ:

Աղբյուրը՝  https://thehackernews.com/