Zyxel устранила критическую уязвимость в межсетевом экране и VPN

Zyxel устранила критическую уязвимость в межсетевом экране и VPN

Zyxel устранила критическую уязвимость в межсетевом экране и VPN

Компания Zyxel выпустила обновления, устраняющие критическую уязвимость в корпоративном межсетевом экране и VPN-продуктах. В случае эксплуатации атакующий может получить полный контроль над целевыми устройствами.

В официальном уведомлении производитель сетевого оборудования описывает проблему как возможность обхода аутентификации, к которой приводит недостаточный контроль доступа. Баг обнаружили в CGI-программе некоторых версий корпоративного файрвола.

«Если киберпреступник задействует брешь в атаке, он сможет получить доступ уровня администратора к уязвимому устройству», — уточняют в Zyxel.

Уязвимость получила идентификатор CVE-2022-0342 и 9,8 балла по шкале CVSS, что позволяет ей считаться критической. Согласно опубликованной информации, затронуты следующие устройства:

  • USG/ZyWALL с версиями прошивки от ZLD V4.20 до ZLD V4.70 (исправлено в ZLD V4.71).
  • USG FLEX с версиями прошивки от ZLD V4.50 до ZLD V5.20 (исправлено в ZLD V5.21 Patch 1).
  • ATP с версиями прошивки от ZLD V4.32 до ZLD V5.20 (исправлено в ZLD V5.21 Patch 1).
  • VPN с версиями прошивки от ZLD V4.30 до ZLD V5.20 (исправлено в ZLD V5.21).
  • NSG с версиями прошивки от V1.20 до V1.33 Patch 4 (хотфикс V1.33p4_WK11 уже доступен, стандартный патч V1.33 Patch 5 выйдет в мае 2022 года).

Пока не поступало информации об эксплуатации уязвимости в реальных атаках, тем не менее всем рекомендуется установить патчи, чтобы снизить риски.

Минцифры хотят официально назначить ответственным за сайты правительства

Минцифры России может официально стать ведомством, которое отвечает за развитие сайтов и других интернет-ресурсов правительства. Такой проект постановления вынесли на общественное обсуждение. Объясняется тем, что Минцифры и так уже занимается этой работой, но формально полномочия за ведомством не закреплены.

А без бумажки, как водится, даже развитие правительственных сайтов может двигаться медленнее, чем хотелось бы.

В пояснительной записке говорится, что отсутствие официального статуса мешает оперативно реализовывать мероприятия по развитию интернет-ресурсов правительства.

При этом техническая инфраструктура остаётся за ФСО России. Именно ФСО указана оператором, который обеспечивает функционирование информационно-телекоммуникационной инфраструктуры для размещения официальных сайтов и других интернет-ресурсов правительства.

Отдельно в документах напоминают, что приказом ФСО от 20 января 2020 года центр специальной связи и информации службы отвечает за поддержание, эксплуатацию, развитие и информационную безопасность российского государственного сегмента интернета — RSNet.

Иными словами, расклад предлагают сделать более официальным: Минцифры — за развитие правительственных сайтов, ФСО — за инфраструктуру и безопасность.

Бюрократически звучит сухо, но по сути речь о том, чтобы закрепить уже сложившуюся схему и убрать подвешенное состояние, когда работа есть, а полномочия оформлены не до конца.

RSS: Новости на портале Anti-Malware.ru