Ağ Ekipmanları Şirketi Zyxel, saldırganların yönetici düzeyinde etkilenen cihazlara erişimini sağlayabilecek kritik şiddetli bir güvenlik açığını ele almak için iş sınıfı güvenlik duvarı ve VPN ürünlerinin birçoğu ürün yazılımını güncellemiştir.
ZYXEL'in güvenlik danışmanı USG / Zywall, USG Flex, ATP, VPN ve NSG (Nebula Security Gateway) serisinin ürünlerini belirtir.
Güvenlik açığı CVE-2022-0342 olarak izlenir ve bir saldırganın cihaza idari erişim elde etmek için kimlik doğrulaması olmadan sömürmesini sağlayan oldukça ciddidir.
Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) henüz şiddet derecelendirmesi sağlamamıştır, ancak Zyxel'in değerlendirmesi, 9.8 puan kazandırır.
"Bazı güvenlik duvarı sürümlerinin CGI programında uygun bir erişim kontrol mekanizması eksikliğinden kaynaklanan bir kimlik doğrulama esprasi güvenlik açığı bulunmuştur. Kusur, bir saldırganın kimlik doğrulamasını atlamasına ve cihazın idari erişimini atmasına izin verebilir "- Zyxel
Güvenlik açığı, üretici tarafından hala desteklenen aşağıdaki zyxel ürünlerinin belleniminde bulunur:
NSG Serisi Ürünler için, Şebeke Donanım Makinesi şu anda bir düzeltme yayınladı ve Mayıs 2022'de standart bir yama yapmayı planlıyor.
Yukarıdaki donanım aygıtları tipik olarak, yerel veya uzaktaki ortamlarda, yerel veya uzak durumlarda, kötü amaçlı yazılım veya kimlik avı yoluyla kötü amaçlı aktiviteye karşı koruyabilen güvenlik bileşenleri ile birleştirmek için küçük veya orta ölçekli ortamlarda kullanılır.
CVE-2022-0342'yi keşfetmek ve raporlamak için yatırılan, TeCNical Service SRL'den Alessandro Sgreccia ve Roberto Garcia H ve Victor Garcia R'in Innotec güvenliğinden.
Zyxel, müşterilerinin ürün yazılımı güncellemelerini "optimum koruma için yüklemelerini tavsiye ediyor". Şu anda, CVE-2022-0342'nin saldırılarda sömürüldüğü bir kamu raporu yok. Zyxel, müşterilerinin ürün yazılımı güncellemelerini "optimum koruma için yüklemelerini tavsiye ediyor". Şu anda, CVE-2022-0342'nin saldırılarda sömürüldüğü bir kamu raporu yok.
Bu Donanım VPN anlaşmasıyla her zaman bir güvenlik duvarı kullanışlı olun
Sophos, kritik güvenlik duvarı hatasının aktif olarak sömürüldüğünü uyardı
Tüm Cihazlar İçin Kritik SonicWall Firewall Yama Yayınlanmadı
Bu donanım güvenlik duvarı ve VPN anlaşmasıyla her zaman ağ koruması
Kritik Sophos Güvenlik Duvarı güvenlik açığı uzaktan kod yürütülmesine izin verir
Kaynak: Bleeping Computer