|
近日,Zyxel 已著手解決影響 Zyxel 防火墻設(shè)備的嚴(yán)重安全漏洞�,該漏洞使未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者能夠獲得任意代碼執(zhí)行。 “某些防火墻版本的 CGI 程序中的命令注入漏洞可能允許攻擊者修改特定文件��,然后在易受攻擊的設(shè)備上執(zhí)行一些操作系統(tǒng)命令,” 該公司在周四發(fā)布的一份公告中表示���。 
網(wǎng)絡(luò)安全公司 Rapid7于 2022 年 4 月 13 日發(fā)現(xiàn)并報(bào)告了該漏洞����,該公司表示���,該漏洞可能允許遠(yuǎn)程未經(jīng)身份驗(yàn)證的對(duì)手以“無人”用戶身份在受影響的設(shè)備上執(zhí)行代碼���。 跟蹤為CVE-2022-30525(CVSS 評(píng)分:9.8),該漏洞影響以下產(chǎn)品���,補(bǔ)丁發(fā)布在 ZLD V5.30 版本中 USG FLEX 100(W)�����、200���、500、700 USG FLEX 50(W) / USG20(W)-VPN ATP系列���,和VPN系列 Rapid 7 指出�����,至少有 16,213 臺(tái)易受攻擊的 Zyxel 設(shè)備暴露在互聯(lián)網(wǎng)上�����,這使其成為威脅參與者進(jìn)行潛在利用嘗試的有利可圖的攻擊媒介���。 這家網(wǎng)絡(luò)安全公司還指出,Zyxel 在 2022 年 4 月 28 日默默地發(fā)布了解決該問題的修復(fù)程序�,而沒有發(fā)布相關(guān)的常見漏洞和披露 ( CVE ) 標(biāo)識(shí)符或安全公告。Zyxel 在其警報(bào)中將此歸咎于“披露協(xié)調(diào)過程中的溝通不暢”��。 知名網(wǎng)絡(luò)安全專家郭盛華透露:“無聲的漏洞修補(bǔ)往往只會(huì)幫助積極的攻擊者���,而讓防御者對(duì)新發(fā)現(xiàn)的問題的真正風(fēng)險(xiǎn)一無所知�?��!?/p> 該公告發(fā)布之際�,Zyxel 在其 VMG3312 中解決了三個(gè)不同的問題�����,包括命令注入 ( CVE-2022-26413 )、緩沖區(qū)溢出 ( CVE-2022-26414 ) 和本地權(quán)限提升 ( CVE-2022-0556 ) 漏洞-T20A 無線路由器和 AP 配置器��,可能導(dǎo)致任意代碼執(zhí)行����。(歡迎轉(zhuǎn)載分享)
|
