Bezpečnost | Firewall | Zyxel

Zyxel v tichosti opravuje chyby ve firewallech se závažností 9,8/10. Mohly vést k napadení sítě hackery

Zyxel v tichosti opravuje chyby ve firewallech se závažností 9,8/10. Mohly vést k napadení sítě hackery

Zyxel opravil kritické zranitelnosti firewallů, které mohly útočníkům umožnit plný přístup k zařízením a interním podnikovým sítím, informuje Bleeping Computer. Výrobce síťových prvků vydal aktualizace v tichosti již před dvěma týdny a teprve nedávno publikoval další podrobnosti.

Bezpečnostní experti ze společnosti Rapid7 našli kritickou chybu, která je evidována jako CVE-2022-30525, a na stupnici závažnosti je hodnocena 9,8 body z deseti. 13. dubna 2022 ji ohlásili Zyxelu s tím, že spočívá v neautentizovaném vzdáleném injektování příkazů přes rozhraní HTTP a týká se firewallů Zyxel podporujících funkci Zero Touch Provisioning (ZTP).

Díry ve firewallech Zyxel

Výše uvedená chyba CVE-2022-30525 se týká zařízení používaných zpravidla v menších firmách pro VPN, SSL, ochranu proti narušení, zabezpečení e-mailu a filtrování webu. Konkrétně jde o následující modely:

  • USG FLEX 50, 50W, 100W, 200, 500 a 700 používající firmware 5.21 a nižší.
  • USG20-VPN a USG20W-VPN používající firmware 5.21 a nižší.
  • ATP 100, 200, 500, 700 a 800 používající firmware 5.21 a nižší.

„Zranitelná funkce je vyvolána ve spojení s příkazem setWanPortSt. Útočník může do parametru mtu nebo data vložit libovolný příkaz.“ konstatovali bezpečnostní experti. V pátek publikovali zprávu o svém objevu a zveřejnili video s funkčním exploitem.

Typickým důsledkem takového útoku je modifikace souborů a spuštění příkazů operačního systému, což útočníkům umožňuje získat přístup do sítě a dále do další infrastruktury. „Z tohoto vstupního bodu může útočník zaútočit na interní systémy, které by jinak nebyly vystaveny do internetu.“ upozornili experti.

Oprava vyšla v tichosti

Zyxel zprávu i platnost chyby potvrdil a slíbil, že opravné bezpečnostní aktualizace vydá v červnu 2022. Přesto 28. dubna 2022 vypustil opravu, aniž by svým zákazníkům poskytl jakékoli informace, technické podrobnosti nebo pokyny.

Vzhledem k tomu, že byly zveřejněny technické podrobnosti o zranitelnosti, by měli všichni správci okamžitě aktualizovat zařízení Zyxel dříve, než útočníci začnou tuto chybu aktivně využívat. Rapid 7 uvádí, že v době objevu bylo na internetu vystaveno nejméně 16 213 zranitelných systémů, což z této zranitelnosti činí atraktivní cíl.

Pokud z nějakého důvodu není možné provést aktualizaci firewallu na nejnovější dostupnou verzi, doporučuje se alespoň zakázat přístup k webovému rozhraní pro správu dotčených produktů prostřednictvím sítě WAN.

Diskuze (1) Další článek: Asus uvedl GeForce RTX 3080 Noctua Edition s legendárními hnědými ventilátory

Témata článku: Internet, Bezpečnost, Aktualizace, VPN, Firewall, Zyxel, WAN, Zranitelnost, Hacker, Rapid, Napadení, Bleeping Computer, Bezpečnostní expert, Atp, Zyxelu, Příkaz, Ticho, Závažnost



Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

** Sex manželských párů jen při zvláštních příležitostech. ** Ložnice ovládnou sexuální roboti s umělou inteligencí. ** I to je jeden ze závěrů Mezinárodní robotické konference.

Filip KůželJiří Liebreich
RobotiSexUmělá inteligence
Jak poznat, že máte možná hacknutý telefon? Toto je devět symptomů, které můžete pozorovat

Jak poznat, že máte možná hacknutý telefon? Toto je devět symptomů, které můžete pozorovat

** Jak poznat, že je váš smartphone hacknutý? ** Hledejte známky po nestandardním chování telefonu ** Stačí když telefon vydrží méně nebo topí i v klidovém režimu...

Martin Chroust
Jak...Malware
Sociální síť BeReal jde proti proudu. Žádné filtry a přetvařování, tohle má být čistá realita

Sociální síť BeReal jde proti proudu. Žádné filtry a přetvařování, tohle má být čistá realita

** BeReal je novou hvězdou mezi sociálními sítěmi ** Ukazuje pouze všední realitu běžných dní ** Aplikace vám jednou denně dá dvě minuty na poslání vlastní fotky

Martin Chroust
BeRealMobilní aplikaceSociální sítě
Víte, s čím vším souhlasíte při používání Androidu? Zjistili jsme to za vás

Víte, s čím vším souhlasíte při používání Androidu? Zjistili jsme to za vás

** Android dnes používá každý druhý mobilní uživatel ** Víte, s čím při jejich používání vlastně souhlasíte? ** Varování: Některé pasáže uživatelských podmínek jsou jen pro otrlé...

Martin Chroust
SoukromíAndroid