Търсене
Close this search box.

Zyxel предупреждава клиентите си за две уязвимости с критична сериозност в няколко от своите защитни стени и VPN продукти, които нападателите могат да използват без удостоверяване.

И двата проблема със сигурността представляват препълване на буфера и могат да позволят отказ на услуга (DoS) и отдалечено изпълнение на код на уязвимите устройства.

„Zyxel пусна кръпки за защитни стени, засегнати от множество уязвимости, свързани с препълване на буфера“, казва производителят в съобщение за сигурността. „Препоръчваме на потребителите да ги инсталират за оптимална защита“, допълва компанията.

Проблемите с препълването на буфера позволяват манипулиране на паметта, което позволява на атакуващите да записват данни извън заделената секция. Обикновено те водят до срив на системата, но в някои случаи успешното им използване може да позволи изпълнението на код на устройството.

Най-новата кръпка на Zyxel е насочена към следните проблеми:

  • CVE-2023-33009: Уязвимост при препълване на буфера във функцията за уведомяване в някои продукти на Zyxel, която позволява на неупълномощен атакуващ да извърши отдалечено изпълнение на код или да създаде условия за DoS. (критична оценка на сериозността 9,8)
  • CVE-2023-33010: Уязвимост с препълване на буфера във функцията за обработка на идентификатори в някои продукти на Zyxel, която позволява на неупълномощен атакуващ да извърши отдалечено изпълнение на код или да наложи условия за DoS. (критична оценка на сериозността 9,8)

Компанията твърди, че уязвимите устройства са със следния фърмуер:

  • Zyxel ATP версии на фърмуера ZLD V4.32 до V5.36 Patch 1 (поправена в ZLD V5.36 Patch 2)
  • Zyxel USG FLEX фърмуер версии ZLD V4.50 до V5.36 Patch 1 (поправен в ZLD V5.36 Patch 2)
  • Zyxel USG FLEX50(W) / USG20(W)-VPN версии на фърмуера ZLD V4.25 до V5.36 Patch 1 (поправена в ZLD V5.36 Patch 2)
  • Версии на фърмуера Zyxel VPN ZLD V4.30 до V5.36 Patch 1 (поправени в ZLD V5.36 Patch 2)
  • Версии на фърмуера Zyxel ZyWALL/USG ZLD V4.25 до V4.73 Patch 1 (поправена в ZLD V4.73 Patch 2)

 

Производителят препоръчва на потребителите на засегнатите продукти да приложат най-новите актуализации на сигурността възможно най-скоро, за да се елиминира рискът хакери да използват двата недостатъка.

Устройствата, работещи с горепосочените уязвими версии, се използват от малки и средни предприятия за защита на тяхната мрежа и за осигуряване на защитен достъп до мрежата (VPN) на отдалечени или домашни работници.

Нападателите следят внимателно за критични недостатъци, които засягат такива устройства, тъй като те могат да улеснят техния достъп до корпоративните мрежи.

Миналата седмица изследователят в областта на киберсигурността Кевин Бомонт съобщи, че недостатъкът в инжектирането на команди, който Zyxel отстрани през април, се експлоатира активно и засяга същите продукти за защитна стена и VPN, както и този път.

Миналата година CISA публикува предупреждение за хакери, използващи недостатък за отдалечено изпълнение на код в защитните стени и VPN устройствата на Zyxel, като призова системните администратори да приложат поправките на фърмуера възможно най-скоро.

Източник: По материали от Интернет

Подобни публикации

9 декември 2024

QNAP поправя уязвимостите, експлоатирани в Pwn2Own

През уикенда тайванската компания QNAP Systems обяви кръпки за множ...
9 декември 2024

Производител на медицински изделия претърпя ата...

В понеделник компанията за медицинска апаратура Artivion оповести а...
9 декември 2024

ЕС отправя спешно запитване към TikTok

Европейският съюз съобщи в петък, че е изпратил на TikTok спешно ис...
9 декември 2024

QR кодовете заобикалят изолацията на браузъра

Mandiant е идентифицирала нов метод за заобикаляне на технологията ...
9 декември 2024

SonicWall поправя 6 уязвимости в Secure Access ...

В края на миналата седмица SonicWall обяви пачове за множество уязв...
8 декември 2024

Тексаски тийнейджър е арестуван за хакове на те...

Преследването на членовете на Scattered Spider, киберпрестъпната гр...
Бъдете социални
Още по темата
09/12/2024

QNAP поправя уязвимостите, ...

През уикенда тайванската компания QNAP Systems...
09/12/2024

SonicWall поправя 6 уязвимо...

В края на миналата седмица SonicWall...
08/12/2024

Тексаски тийнейджър е арест...

Преследването на членовете на Scattered Spider,...
Последно добавени
09/12/2024

QNAP поправя уязвимостите, ...

През уикенда тайванската компания QNAP Systems...
09/12/2024

Производител на медицински ...

В понеделник компанията за медицинска апаратура...
09/12/2024

ЕС отправя спешно запитване...

Европейският съюз съобщи в петък, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!