Május elején figyelmeztetünk rá, hogy a ZyXEL egyes tűzfalaiban kritikus sebezhetőség (CVE-2023-28771) került javításra. Nemrégiben egy Mirai botnet variáns segítségével az említett sérülékenységet kihasználva számos ZyXEL tűzfalat törtek fel.
A Trapa Security által talált OS command injection sebezhetőséget a hibaüzenetek nem megfelelő kezelése okozza egyes tűzfalakban.
Az OS command injection (más néven shell injection) egy olyan webes biztonsági sebezhetőség, amely lehetővé teszi a támadó számára, hogy tetszőleges operációs rendszer parancsokat hajtson végre az alkalmazást futtató szerveren és teljesen kompromittálja az alkalmazást és annak összes adatát.
Május közepén biztonsági szakértők arról számoltak be, hogy sikerült reprodukálni az exploitot, a Rapid7 pedig néhány nappal később arra figyelmeztetett, hogy a hibát valószínűleg a kibertérben is ki fogják használni. A vállalat 42000 potenciálisan sebezhető, az Internetről elérhető ZyXEL eszközt észlelt, de jelezte azt is, hogy a kompromittálható eszközök tényleges száma valószínűleg sokkal magasabb lehet ennél. A Mirai botnetek ezekkel a fertőzött eszközökkel élnek vissza DDoS támadások indítására.
További sérülékenységek
A ZyXEL a héten két másik, tűzfalait érintő, potenciálisan súlyos hiba javítását jelentette be. A CVE-2023-33009 és CVE-2023-33010 néven nyomon követhető hibák olyan buffer overflow hibák, amelyek lehetővé teszik a nem hitelesített támadók számára, hogy tetszőleges kódot futtassanak az érintett eszközökön és DoS támadásra használják fel azokat.
A buffer overflow egy olyan sebezhetőség, amely akkor áll fenn, amikor az adatok mennyisége meghaladja a memória buffer tárolókapacitását, és a maradék adat egy szomszédos memóriaterületre íródik be.
A CVE-2023-33009 egy buffer overflow sebezhetőség az értesítési funkcióban, az érintett eszközök következő frissítései foltozzák azt:
- Zyxel ATP sorozat firmware 4.32-5.36 Patch 1,
- USG FLEX sorozat firmware 4.50-5.36 Patch 1,
- USG FLEX 50(W) firmware 4.25-5.36 Patch 1,
- USG20(W)-VPN firmware 4.25-5.36 Patch 1,
- VPN sorozat firmware 4.30-5.36 Patch 1,
- ZyWALL/USG sorozat firmware 4.25-4.73 Patch 1.
A CVE-2023-33010 szintén egy buffer overflow sebezhetőség az ID feldolgozó funkcióban, ugyanezen ZyXEL firmware verziókban.
A CVE-2023-28771 mellett ez a két sebezhetőség is 9.8-as CVSS pontszámmal rendelkezik. Érdemes megjegyezni, hogy mindössze négy napba telt, mire az első aktív kihasználás megtörtént, miután a ZyXEL tavaly befoltozta a CVE-2022-30525-öt.
A biztonsági közlemény felsorolja a sebezhető tűzfalszériákat, amelyek még a gyártói támogatási cikluson belül vannak ─ ezekhez elérhető biztonsági hibajavítás:
- A ZLD V4.32 és V5.36 közötti ATP-verziókra a ZLD V5.36 Patch 1, a ZLD V5.36 Patch 2 vonatkozik.
- Az USG FLEX ZLD V4.50-V5.36 Patch 1 verziókra a ZLD V5.36 Patch 2 vonatkozik.
- Az USG FLEX50(W) / USG20(W)-VPN ZLD V4.25-V5.36 Patch 1 verziókra a ZLD V5.36 Patch 2 vonatkozik.
- A ZLD V4.30-V5.36 Patch 1 VPN-verziókra a ZLD V5.36 Patch 2 vonatkozik.
- A ZyWALL/USG ZLD V4.25-V4.73 Patch 1 verziókra a ZLD V4.73 Patch 2 vonatkozik.
Az érintett felhasználóknak sürgősen telepíteniük kell a hibajavításokat.
Hogyan telepítsük a frissítéseket?
- Jelentkezzen be a ZLD készülékbe, és válassza a Configuration → Licensing → Registration → Service menüpontot, majd kattintson a Service License Refresh Ez szinkronizálja a szükséges információkat a myZyxel szerverrel (futó firmware verzió, MAC cím, S/N stb.).
- Nyisson meg egy internetes böngészőt, és lépjen a következő URL címre: https://portal.myzyxel.com/, majd jelentkezzen be fiókjába.
- A dashboardon keresse meg azt a ZLD routert, amelyhez firmware-t szeretne letölteni, és kattintson a Download gombra a Firmware Update
- A letöltés után a firmware frissítésére négyféle módon van lehetőség:
-
- firmware frissítése történhet manuálisan a webes felhasználói felületen keresztül,
- FTP-vel beléphet a routerbe és feltöltheti a firmware-t,
- használhatja a 4.25-ös firmware verzióval bevezetett Automatikus felhőalapú firmware frissítés funkciót,
- frissíthet USB flash meghajtón keresztül.
Források: (securityweek.com, malwarebytes.com)