Търсене
Close this search box.

Zyxel предупреждава за критични уязвимости

Zyxel предупреждава клиентите си за две уязвимости с критична сериозност в няколко от своите защитни стени и VPN продукти, които нападателите могат да използват без удостоверяване.

И двата проблема със сигурността представляват препълване на буфера и могат да позволят отказ на услуга (DoS) и отдалечено изпълнение на код на уязвимите устройства.

„Zyxel пусна кръпки за защитни стени, засегнати от множество уязвимости, свързани с препълване на буфера“, казва производителят в съобщение за сигурността. „Препоръчваме на потребителите да ги инсталират за оптимална защита“, допълва компанията.

Проблемите с препълването на буфера позволяват манипулиране на паметта, което позволява на атакуващите да записват данни извън заделената секция. Обикновено те водят до срив на системата, но в някои случаи успешното им използване може да позволи изпълнението на код на устройството.

Най-новата кръпка на Zyxel е насочена към следните проблеми:

  • CVE-2023-33009: Уязвимост при препълване на буфера във функцията за уведомяване в някои продукти на Zyxel, която позволява на неупълномощен атакуващ да извърши отдалечено изпълнение на код или да създаде условия за DoS. (критична оценка на сериозността 9,8)
  • CVE-2023-33010: Уязвимост с препълване на буфера във функцията за обработка на идентификатори в някои продукти на Zyxel, която позволява на неупълномощен атакуващ да извърши отдалечено изпълнение на код или да наложи условия за DoS. (критична оценка на сериозността 9,8)

Компанията твърди, че уязвимите устройства са със следния фърмуер:

  • Zyxel ATP версии на фърмуера ZLD V4.32 до V5.36 Patch 1 (поправена в ZLD V5.36 Patch 2)
  • Zyxel USG FLEX фърмуер версии ZLD V4.50 до V5.36 Patch 1 (поправен в ZLD V5.36 Patch 2)
  • Zyxel USG FLEX50(W) / USG20(W)-VPN версии на фърмуера ZLD V4.25 до V5.36 Patch 1 (поправена в ZLD V5.36 Patch 2)
  • Версии на фърмуера Zyxel VPN ZLD V4.30 до V5.36 Patch 1 (поправени в ZLD V5.36 Patch 2)
  • Версии на фърмуера Zyxel ZyWALL/USG ZLD V4.25 до V4.73 Patch 1 (поправена в ZLD V4.73 Patch 2)

 

Производителят препоръчва на потребителите на засегнатите продукти да приложат най-новите актуализации на сигурността възможно най-скоро, за да се елиминира рискът хакери да използват двата недостатъка.

Устройствата, работещи с горепосочените уязвими версии, се използват от малки и средни предприятия за защита на тяхната мрежа и за осигуряване на защитен достъп до мрежата (VPN) на отдалечени или домашни работници.

Нападателите следят внимателно за критични недостатъци, които засягат такива устройства, тъй като те могат да улеснят техния достъп до корпоративните мрежи.

Миналата седмица изследователят в областта на киберсигурността Кевин Бомонт съобщи, че недостатъкът в инжектирането на команди, който Zyxel отстрани през април, се експлоатира активно и засяга същите продукти за защитна стена и VPN, както и този път.

Миналата година CISA публикува предупреждение за хакери, използващи недостатък за отдалечено изпълнение на код в защитните стени и VPN устройствата на Zyxel, като призова системните администратори да приложат поправките на фърмуера възможно най-скоро.

Източник: По материали от Интернет

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...

NIS 2: Въвеждане на по-строго управление на киб...

Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особе...

Грешки в киберсигурността на крайните потребите...

В днешните забързани организации крайните потребители понякога се о...

Всичко за Закона за онлайн безопасността на дец...

За последен път Конгресът прие закон за защита на децата в интернет...
Бъдете социални
Още по темата
23/07/2024

Wiz се отказа от сделката с...

Израелският гигант в областта на сигурността...
20/07/2024

IBM спечели важен контракт

IBM (NYSE: IBM) обяви , че...
18/07/2024

Значение на SSID: Какво пре...

Идентификаторът на набора от услуги (SSID)...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!