Компания Zyxel выпустила обновления, устраняющие критическую уязвимость в корпоративном межсетевом экране и VPN-продуктах. В случае эксплуатации атакующий может получить полный контроль над целевыми устройствами.
В официальном уведомлении производитель сетевого оборудования описывает проблему как возможность обхода аутентификации, к которой приводит недостаточный контроль доступа. Баг обнаружили в CGI-программе некоторых версий корпоративного файрвола.
«Если киберпреступник задействует брешь в атаке, он сможет получить доступ уровня администратора к уязвимому устройству», — уточняют в Zyxel.
Уязвимость получила идентификатор CVE-2022-0342 и 9,8 балла по шкале CVSS, что позволяет ей считаться критической. Согласно опубликованной информации, затронуты следующие устройства:
- USG/ZyWALL с версиями прошивки от ZLD V4.20 до ZLD V4.70 (исправлено в ZLD V4.71).
- USG FLEX с версиями прошивки от ZLD V4.50 до ZLD V5.20 (исправлено в ZLD V5.21 Patch 1).
- ATP с версиями прошивки от ZLD V4.32 до ZLD V5.20 (исправлено в ZLD V5.21 Patch 1).
- VPN с версиями прошивки от ZLD V4.30 до ZLD V5.20 (исправлено в ZLD V5.21).
- NSG с версиями прошивки от V1.20 до V1.33 Patch 4 (хотфикс V1.33p4_WK11 уже доступен, стандартный патч V1.33 Patch 5 выйдет в мае 2022 года).
Пока не поступало информации об эксплуатации уязвимости в реальных атаках, тем не менее всем рекомендуется установить патчи, чтобы снизить риски.