অন্বেষণ
অন্বেষণ

বাজে Zyxel রিমোট এক্সিকিউশন বাগ শোষণ করা হচ্ছে

গত সপ্তাহের শেষে, Rapid7 প্রকাশিত Zyxel ফায়ারওয়ালে একটি বাজে বাগ যা একটি অননুমোদিত দূরবর্তী আক্রমণকারীকে কেউ ব্যবহারকারী হিসাবে কোড চালানোর অনুমতি দিতে পারে।

প্রোগ্রামিং সমস্যাটি স্যানিটাইজিং ইনপুট ছিল না, দুটি ক্ষেত্র একটি CGI হ্যান্ডলারকে সিস্টেম কলগুলিতে দেওয়া হয়েছিল। প্রভাবিত মডেলগুলি হল এর VPN এবং ATP সিরিজ, এবং USG 100(W), 200, 500, 700, এবং Flex 50(W)/USG20(W)-VPN।

সেই সময়ে, Rapid7 বলেছিল যে ইন্টারনেটে 15,000 প্রভাবিত মডেল রয়েছে যা শোদান খুঁজে পেয়েছে। যাইহোক, সপ্তাহান্তে, শ্যাডোসার্ভার ফাউন্ডেশন সেই সংখ্যাটিকে 20,800-এর উপরে উন্নীত করেছে।

“সবচেয়ে জনপ্রিয় হল USG20-VPN (10K IPs) এবং USG20W-VPN (5.7K IPs)। CVE-2022-30525 প্রভাবিত মডেলগুলির বেশিরভাগই ইইউ - ফ্রান্স (4.5K) এবং ইতালি (4.4K) তে রয়েছে,” এটি টুইট.

এখন জনপ্রিয়
Beelink GK মিনি রিভিউ | পিসিম্যাগ

ফাউন্ডেশন আরও বলেছে যে এটি 13 মে থেকে শোষণ শুরু হতে দেখেছে এবং ব্যবহারকারীদের অবিলম্বে প্যাচ করার জন্য অনুরোধ করেছে।

7 এপ্রিল Rapid13 দুর্বলতার কথা জানানোর পর, তাইওয়ানের হার্ডওয়্যার প্রস্তুতকারক 28 এপ্রিল নীরবে প্যাচগুলি প্রকাশ করে৷ Rapid7 শুধুমাত্র বুঝতে পেরেছিল যে মুক্তিটি 9 মে হয়েছে, এবং অবশেষে তার ব্লগ এবং মেটাসপ্লয়েট মডিউল প্রকাশ করেছে Zyxel নোটিশ, এবং ইভেন্টের সময়রেখার সাথে খুশি ছিল না।

"এই প্যাচ রিলিজটি দুর্বলতার বিবরণ প্রকাশের সমতুল্য, যেহেতু আক্রমণকারী এবং গবেষকরা সুনির্দিষ্ট শোষণের বিশদ জানতে প্যাচটিকে তুচ্ছভাবে উল্টাতে পারে, যখন ডিফেন্ডাররা খুব কমই এটি করতে বিরক্ত হয়," Rapid7 বাগ আবিষ্কারকারী Jake Baines লিখেছেন৷

“অতএব, শোষণ শনাক্ত করতে ডিফেন্ডারদের সহায়তা করার জন্য এবং তাদের নিজস্ব ঝুঁকি সহনশীলতা অনুযায়ী কখন তাদের নিজস্ব পরিবেশে এই ফিক্সটি প্রয়োগ করতে হবে তা সিদ্ধান্ত নিতে সহায়তা করার জন্য আমরা এই প্রকাশটি প্রথম দিকে প্রকাশ করছি৷ অন্য কথায়, নীরব দুর্বলতা প্যাচিং শুধুমাত্র সক্রিয় আক্রমণকারীদের সাহায্য করে এবং নতুন আবিষ্কৃত সমস্যাগুলির সত্যিকারের ঝুঁকি সম্পর্কে ডিফেন্ডারদের অন্ধকারে ফেলে দেয়।"

তার অংশের জন্য, Zyxel দাবি করেছে যে "প্রকাশ সমন্বয় প্রক্রিয়ার সময় একটি ভুল যোগাযোগ ছিল" এবং এটি "সর্বদা সমন্বিত প্রকাশের নীতি অনুসরণ করে"।

মার্চের শেষে, Zyxel তার CGI প্রোগ্রামে আরেকটি CVSS 9.8 দুর্বলতার জন্য একটি পরামর্শ প্রকাশ করেছে যা একজন আক্রমণকারীকে প্রমাণীকরণ বাইপাস করতে এবং প্রশাসনিক অ্যাক্সেস সহ ডিভাইসের চারপাশে চালানোর অনুমতি দিতে পারে।

সম্পর্কিত কভারেজ



উৎস

Keep Calm and Stay Smart

17:55

আমাদের দল পেশাদারভাবে আমাদের নিজস্ব পরামর্শদাতা এবং ব্যবসায়ী নেতাদের একটি প্যানেলের মাধ্যমে প্রতি বছর শত শত সফ্টওয়্যার, পরিষেবা এবং ব্যবসায়িক কৌশল পরীক্ষা করে।

আমরা কঠোরভাবে সমাধানগুলি বেছে নিই শুধুমাত্র সর্বোচ্চ খরচ-সুবিধা অনুপাতের সাথে যারা সহজেই ব্যবহারযোগ্য, যারা যেকোনো ধরনের প্রতিষ্ঠানে শালীনভাবে একত্রিত হয় এবং যারা আপনাকে আপনার ব্যবসায়িক ক্ষেত্রের শীর্ষে থাকতে নিশ্চিত করতে অগ্রণী বৈশিষ্ট্যগুলি অন্তর্ভুক্ত করে।

en English
ar Arabicbe Belarusianbn Bengalibs Bosnianbg Bulgarianzh-CN Chinese (Simplified)hr Croatiancs Czechda Danishnl Dutchen Englishet Estoniantl Filipinofi Finnishfr Frenchka Georgiande Germanel Greekgu Gujaratiha Hausaiw Hebrewhi Hindihmn Hmonghu Hungarianig Igboid Indonesianit Italianja Japanesejw Javanesekk Kazakhko Koreanku Kurdish (Kurmanji)ky Kyrgyzlo Laolv Latvianlt Lithuanianmk Macedonianmg Malagasyno Norwegianfa Persianpl Polishpt Portuguesepa Punjabiro Romanianru Russiansr Serbiansk Slovaksl Slovenianes Spanishsv Swedishth Thaitr Turkishuk Ukrainianvi Vietnameseyo Yoruba

2024 সালে সফ্টওয়্যার থাকতে হবে

শীর্ষ বিভাগ

সর্বশেষ পর্যালোচনা